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前 言 


计算 机 网 络 已 在 普通 民众 身边 存在 很 入， 在 我 们 还 没有 意识 到 其 存在 的 时 候 ， 它 就 已 
经 为 我 们 默默 服务 多 年 了 。 但 是 ， 计 算 机 网 络 给 人 们 带 来 的 已 经 不 单单 是 它 的 优质 服务 ， 
也 带 来 了 与 日 俱 增 的 担忧 ， 甚 至 是 恐惧 之 心 。 计 算 机 网 络 安全 已 经 是 摆 在 所 有 人 面前 的 一 
道 必须 解决 的 难题 。 

本 书 就 是 为 解决 该 难题 而 推出 的 。 

不 论 是 从 技术 角度 讲 ， 还 是 从 社会 角度 讲 ， 计 算 机 网 络 安全 都 是 一 个 范围 十 分 广泛 、 
具有 一 定 深 度 的 问题 ， 也 是 很 难 描述 清楚 的 ， 因 此 ， 本 书 着 重 从 比较 基础 的 技术 角度 来 讲 
解 和 讨论 这 个 问题 。 同 时 ， 对 于 常见 的 、 普 通 民众 经 简单 学 习 就 可 以 遵循 的 部 分 实践 ， 也 
进行 了 讲解 和 说 明 ， 并 列举 了 一 些 代码 和 实验 截图 ， 还 给 出 了 一 些 与 计算 机 网 络 安全 有 关 
的 网 站 地 址 ， 以 方便 读者 参考 。 

因此 ， 本 书 对 于 在 校 大 学 生 是 本 比较 全 面 的 计算 机 网 络 安全 理论 基础 教材 ， 对 于 普通 
大 众 ， 也 是 一 本 具有 一 定 实践 指导 意义 的 辅导 书 。 


1. 本 书 特色 


(1) 高 度 贴 近 教育 部 颁布 的 新 的 学 科 专 业 调整 方案 和 高 校本 科 建 设 目标 

本 书 以 教育 部 颁布 的 新 的 学 科 专 业 调 整 方案 和 高 校本 科 建 设 目 标 为 指导 ， 紧 扣 计算 机 
网 络 安全 基础 知识 ， 从 基础 理论 与 实践 两 个 方面 ， 强 调 对 学 生 自 学 能 力 的 培养 ， 强 调 提高 学 
生 的 应 用 素质 ， 以 培养 “学 术 型 ”和 “应 用 型 ” 相 结 合 的 实用 型 人 才 。 

(2) 以 整合 计算 机 网 络 安全 基础 知识 、 技 术 和 实践 于 一 体 为 原则 

以 计算 机 网 络 安全 理论 为 主线 ， 从 计算 机 网 络 安全 知识 的 基本 概念 介绍 入 手 ， 引 导 开 
展 计算 机 网 络 安全 技术 讲解 ， 最 后 ， 结 合 一 些 实践 ， 使 基础 知识 、 应 用 技术 与 实践 有 机 地 
结合 成 一 体 。 

(3) 基础 理论 坚实 、 实 际 应 用 贴近 现实 

本 书 在 基础 理论 坚实 、 实 际 应 用 贴近 现实 的 目标 框架 内 ， 处 理 内 容 所 涉及 的 计算 机 网 
络 安全 知识 ， 注 重 理论 与 实践 的 有 机 结合 ， 力 求 做 到 使 读者 既 能 掌握 坚实 的 基础 理论 ， 又 
能 学 到 一 定 的 实践 技术 。 本 书 通俗 易 懂 ， 提 供 了 对 于 理解 计算 机 网 络 安全 所 必需 的 理论 基 
础 知识 ， 并 配 有 复习 思考 题 ， 以 帮助 学 生 提 高 分 析 问 题 和 解决 问题 的 能 力 。 

(4 配 有 很 多 实际 动手 实验 的 例子 

计算 机 网 络 安全 对 于 大 部 分 人 来 说 ， 都 是 一 种 实践 课题 ， 不 论 是 否 愿意 ， 我 们 都 必须 
亲身 去 实践 和 实验 。 因 此 ， 本 书 在 具体 操作 方面 ， 给 出 了 作者 做 过 的 许多 实验 ， 并 讲述 了 
自己 获得 的 经 验 ， 这 也 是 本 书 的 一 个 鲜明 的 特色 。 

(5) 众多 与 计算 机 网 络 安 全 有 关 的 网 站 地 址 

在 本 书 各 章 末 尾 推荐 的 参考 资料 中 ， 给 出 了 许多 网 站 地 址 。 这 些 网 站 包含 了 计算 机 网 
络 安全 理论 和 实践 的 最 主要 、 最 前 端的 文献 。 学 习 和 参考 这 些 网 站 的 内 容 ， 是 保证 计算 机 
网 络 安全 的 重要 方法 之 一 ， 希 望 能 引起 读者 的 充分 重视 。 


算 2. 本 书 结构 


网 本 书 由 16 章 组 成 ， 简 略 描述 如 下 。 

泡 第 1 章 计算 机 网 络 基础 。 系 统 地 介绍 计算 机 网 络 、 设 备 的 基本 结构 和 组 成 知识 ， 主 要 
加 包括 计算 机 网 络 结构 组 成 、 分 类 、 体 系 结构 、 设 备 和 应 用 模式 。 

而 第 2 章 网 络 安全 基础 从 整体 上 讨论 网 络 安全 的 基本 结构 和 知识 , 主要 包括 安全 概述 、 
安全 模型 、 安 全 攻防 技术 、 网 络 的 层次 体系 结构 和 安全 管理 。 

第 3 章 计算 机 网 络 安全 威胁 。 系 统 地 介绍 网 络 安全 威胁 机 制 ， 主 要 包括 威胁 来 源 、 威 
胁 动 机 、 威 胁 管理 与 防范 和 威胁 认 知 。 

第 4 章 计算 机 网 络 安全 评价 标准 。 介绍 当前 主要 的 网 络 安全 评价 标准 , 包括 网 络 安全 
评价 标准 的 形成 、 典 型 的 评价 标准 、 信 息 系统 安全 等 级 保护 、 信 息 安全 保证 技术 框架 等 。 

第 5 章 网 络 犯罪 与 黑客 。 介绍 网 络 犯罪 与 黑客 的 基本 概念 , 主要 包括 网 络 犯罪 、 黑 客 、 
不 断 上 升 的 网 络 犯罪 应 对 等 。 

第 6 章 恶意 脚本 。 介绍 脚本 的 基本 知识 ， 并 给 出 常用 平台 Windows 系列 和 Unix 家 族 
下 的 脚本 实例 ， 从 脚本 的 本 意 和 恶意 两 个 角度 ， 讲 解 脚本 的 应 用 现状 。 

第 7 章 安全 评估 分 析 与 保证 。 从 现实 的 角度 ， 介 绍 安全 评估 分 析 与 保证 ， 主 要 包括 安 
全 隐患 和 评估 方法 、 网 络 安全 评估 相关 的 法 律 法 规 ， 及 安全 相关 的 法 律 知识 。 

第 8 章 身份 认证 与 访问 控制 。 主 要 讲解 身份 认证 和 访问 控制 的 理论 与 机 制 。 

第 9 章 密码 学 。 系 统 地 介绍 密码 学 的 主要 理论 ， 主 要 包括 密码 学 的 发 展 历史 、 密 码 学 
基础 、 古 典 密码 、 对 称 和 非 对 称 密码 体制 、 公 钥 基 础 设施 和 密码 学 应 用 。 

第 10 章 安全 协议 。 介 绍 网 络 安全 协议 的 基本 知识 ， 主 要 包括 安全 协议 概述 、 基 本 安 
全 协议 、 认 证 与 密 钥 建立 协议 和 零 知 识 证 明 等 技术 问题 。 

第 11 章 防火 墙 技术 。 系 统 地 介绍 防火 墙 技术 ， 主 要 包括 防火 墙 体系 结构 、 防 火 墙 技 
术 、 防 火 墙 创建 和 防火 墙 技术 应 用 。 

第 12 章 系统 入 侵 检测 与 预防 。 系 统 地 介绍 系统 入 侵 检测 与 预防 技术 ， 主 要 包括 入 侵 
检测 、 入 侵 检 测 系统 、 入 侵 检测 软件 和 手工 入 侵 检测 。 

第 13 章 计算 机 网 络 取证 。 讲解 计算 机 网 络 取证 的 基础 知识 ,主要 包括 网 络 取 证 概述 、 
TCP/IP 基础 、 网 络 取证 数据 源 、 收 集 网 络 通信 数据 、 检 查 和 分 析 网 络 通信 数据 。 

第 14 章 病毒 与 内 容 过 滤 。 讨 论 计 算 机 病毒 的 主要 作用 机 理 和 防范 ， 包 括 计算 机 病毒 
概述 、 计 算 机 病毒 的 分 类 、 计 算 机 病毒 的 特点 及 危害 、 计 算 机 病毒 的 防范 、 内 容 过 滤 技 术 
和 网 络 内容 过 滤 技 术 。 

第 15 章 计算 机 网 络 安全 协议 与 标准 。 从 计算 机 网 络 的 角度 出 发 ， 讨 论 计 算 机 网 络 安 
全 协议 与 标准 。 主 要 包括 协议 的 概述 、 安 全 协议 、 常 见 的 网 络 安全 协议 和 网 络 安全 标准 及 
规范 。 

第 16 章 无 线 网 络 与 设备 的 安全 。 这 是 本 书 的 最 后 一 章 ， 也 是 当前 人 们 最 关心 的 问题 
之 一 。 该 章 从 无 线 网 络 基本 知识 开始 ， 简 单 地 介绍 无 线 网 络 技术 、 无 线 局 域 网 规格 标准 、 
无 线 网 络 的 安全 和 无 线 网 络 安全 解决 方案 等 问题 。 


了 


3. 本 书 作者 


本 书 由 澳门 城市 大 学 杜 文才 统筹 策划 并 担任 全 书 主编 ， 顾 剑 和 周 晓 谊 担任 副 主编 。 其 
Pp 第 1、2、3 章 由 杜 文才 编写 ， 第 4、5、8、9、10、11 等 章 由 周 晓 谊 编写 ， 第 6、7、12、 
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本 书 是 计算 机 网 络 安全 教育 工作 者 及 实践 者 历年 理论 研究 、 教 学 及 实践 经 验 的 成 果 ， 
也 是 广大 计算 机 网 络 安全 教师 关心 和 帮助 的 产物 。 由 于 作者 水 平 有 限 ， 书 中 难免 会 有 廖 误 
或 不 足 之 处 ， 敬 请 各 位 同仁 、 专 家 和 使 用 者 批评 指正 。 
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第 1 章 计算 机 网 络 基础 


计算 机 网 络 已 经 扩展 到 日 常生 活 的 各 个 层面 ， 时 刻 影响 着 人 们 的 行为 方式 。 无 论 在 家 
里 、 单 位 ， 还 是 在 路 上 ， 人 们 都 离 不 开 网 络 ， 网 络 已 成 为 生活 和 工作 中 重要 的 组 成 部 分 。 
网 络 新 技术 的 发 展 让 这 个 数字 化 的 世界 变 得 越 来 越 丰富 。 

从 某 种 意义 上 来 说 ， 计 算 机 网 络 的 发 展 水 平 不 仅 反映 出 一 个 国家 计算 机 和 通信 技术 的 
水 平 ， 而 且 已 成 为 衡量 国家 综合 实力 乃至 现代 化 程度 的 重要 标志 之 一 。 


1.1 计算 机 网 络 概述 


计算 机 网 络 是 将 若干 台独 立 的 计算 机 通过 传输 介质 相互 物理 地 连接 ， 并 通过 网 络 软件 
逻辑 地 相互 联系 到 一 起 而 实现 信息 交换 、 资 源 共享 、 协 同 工 作 和 在 线 处 理 等 功能 的 计算 机 
系统 。 它 给 人 们 的 生活 带 来 了 极 大 的 便利 ， 如 办 公 自 动 化、 网 上 银行 、 网 上 订 票 、 网 上 查 
询 、 网 上 购物 等 。 计 算 机 网 络 不 仅 可 以 传输 数据 ， 也 可 以 传输 图 像 、 声 音 、 视 频 等 多 种 媒 
体形 式 的 信息 ， 计 算 机 网 络 不 仅 广泛 应 用 于 政治 、 经 济 、 军 事 、 科 学 等 领域 ， 而 且 已 应 用 
于 社会 生活 的 方方面面 。 


1.1.1 计算 机 网 络 的 基本 概念 


计算 机 网 络 (Computer Network) 是 利用 通信 线路 和 通信 设备 , 把 分 布 在 不 同 地 理 位 置 的 
具有 独立 功能 的 多 台 计 算 机 、 终 端 及 其 附属 设备 互相 连接 ， 按 照 网 络 协议 进行 数据 通信 ， 
利用 功能 完善 的 网 络 软件 实现 资源 共享 的 计算 机 系统 的 集合 。 计 算 机 网 络 是 计算 机 技术 与 
通信 技术 结合 的 产物 。 

在 计算 机 网 络 中 ， 多 台 计 算 机 之 间 可 以 方便 地 互相 传递 信息 ， 因 此 ， 资 源 共享 是 计算 
机 网 络 的 一 个 重要 特征 。 用 户 能 够 通过 网 络 来 共享 软件 、 硬 件 和 数据 资源 。 

现代 计算 机 网 络 可 以 提供 多 媒体 信息 服务 ， 如 图 像 、 语 音 、 视 频 、 动 画 等 。 各 种 新 的 
网 络 应 用 也 不 断 出 现 ， 如 视频 点 播 VOD(Video On Demand)、 网 上 交易 (E-Marketing)、 视 频 
会 议 (Video Meeting) 等 。 


1.1.2 计算 机 网 络 的 演变 


进入 21 世纪 以 来 , 计算 机 网 络 获得 了 飞速 的 发 展 。 回 顾 20 世纪 90 年 代 ， 在 我 国 还 很 
少 有 人 接触 网 络 。 而 现在 ,计算 机 通信 网 络 和 Interet 已 成 为 我 们 日 常生 活 的 一 部 分 。 网 络 
被 应 用 于 工商 业 的 各 个 方面 ， 包 括 电 子 银行 、 电 子 商 务 、 现 代 化 的 企业 管理 、 信 息 服务 业 
等 ， 都 以 计算 机 网 络 系统 为 基础 。 从 学 校 远程 教育 到 政府 日 常 办 公 ， 乃 至 现在 的 电子 社区 ， 
很 多 方面 都 离 不 开 网 络 技术 。 可 以 毫 不 夸张 地 说 ， 计 算 机 网 络 在 当今 世界 无 处 不 在 。 

20 世纪 50 年 代 中 期 ,美国 半自动 地 面 防空 系统 (Semi-Automatic Ground Environment， 
SAGE) 开 始 了 计算 机 技术 与 通信 技术 相 结 合 的 尝试 ， 在 SAGE 系统 中 ， 把 远程 的 雷达 和 其 


< 


PF 


他 测控 设备 的 信息 经 由 线路 汇集 至 一 台 IBM 计算 机 上 进行 集中 处 理 与 控制 。 
世界 上 公认 的 、 成 功 的 第 一 个 远程 计算 机 网 络 ， 是 在 1969 年 由 美国 高 级 研究 计划 署 
(Advanced Research Projects Agency，ARPA) 组 织 研制 成 功 的 。 该 网 络 被 称 为 ARPAnet， 它 
是 Intemet 的 前 身 。 
随 着 计算 机 网 络 技术 的 快速 发 展 ， 计 算 机 网 络 的 发 展 大 致 可 以 划分 为 以 下 4 个 阶段 。 


1. 诞生 阶段 


20 世纪 60 年 代 中 期 之 前 的 第 一 代 计 算 机 网 络 ， 是 以 单 台 计算 机 为 中 心 的 远程 联机 系 
统 。 典 型 应 用 是 由 一 台 计 算 机 和 全 美 范 围 内 2000 多 个 终端 组 成 的 飞机 订 票 系统 。 终端 是 一 
台 计 算 机 的 外 部 设备 ， 包 括 显示 器 和 键盘 ， 无 CPU 和 内 存 。 随 着 远程 终端 的 增多 ， 为 了 减 
轻 中 心计 算 机 的 负载 ， 在 通信 线路 和 计算 机 之 间 设 置 了 一 个 前 置 处 理 机 (Front End 
Processor，FEP) 或 通信 控制 处 理 机 (Communication Control Processor，CCP)， 专 门 负责 与 终 
端 之 间 的 通信 控制 ， 使 数据 处 理 和 通信 控制 分 开 。 在 终端 机 较为 集中 的 地 区 ， 采 用 了 集中 
管理 器 (集中 器 或 多 路 复 用 器 )， 用 低速 线路 把 附近 群集 的 终端 连 起 来 ， 通 过 Modem 及 高 速 
线路 与 远程 中 心计 算 机 的 前 端 机 相连 。 这 样 的 远程 联机 系统 ， 既 提高 了 线路 的 利用 率 ， 又 
节约 了 远程 线路 的 投资 。 

当时 ， 人 们 把 计算 机 网 络 定 义 为 :以 传输 信息 为 目的 而 连接 起 来 的 、 实 现 远程 信息 处 
理 或 进一步 实现 资源 共享 的 系统 。 这 样 的 通信 系统 已 经 具备 了 网 络 的 雏形 。 

2.， 形成 阶段 


20 世纪 60 年 代 中 期 至 70 年 代 的 第 二 代 计算 机 网 络 ， 是 以 多 台 主 机 通过 通信 线路 互 连 
起 来 的 , 为 用 户 提供 服务 , 典型 的 代表 是 美国 国防 部 高 级 研究 计划 局 协助 开发 的 ARPAnet。 
主机 之 间 不 是 直接 用 线路 相连 ， 而 是 由 接口 报 文 处 理 机 (Interface Message Processor，IMP) 
转 接 后 互 连 。IMP 和 它们 之 间 互 连 的 通信 线路 一 起 负责 主机 间 的 通信 服务 ， 构 成 了 通信 子 
网 。 通 信子 网 互 连 的 主机 负责 运行 程序 ， 提 供 资源 共享 ， 组 成 了 资源 子 网 。 这 个 时 期 ， 网 
络 的 概念 为 : 以 能 够 相互 共享 资源 为 目的 互 连 起 来 的 ， 具 有 独立 功能 的 计算 机 的 集合 体 。 
这 就 形成 了 计算 机 网 络 的 基本 概念 。 


3.， 互 连 互通 阶段 


20 世纪 70 年 代 末 至 90 年 代 的 第 三 代 计 算 机 网 络 ， 是 具有 统一 的 网 络 体系 结构 并 遵循 
国际 标准 的 开放 式 和 标准 化 的 网 络 。ARPAnet 兴起 后 ， 计 算 机 网 络 发 展 迅速 ， 各 大 计算 机 
公司 相继 推出 了 自己 的 网 络 体系 结构 及 实现 这 些 结构 的 软 硬 件 产品 。 由 于 没有 统一 的 标准 ， 
不 同 厂商 的 产品 之 间 互 连 很 困难 ， 人 们 迫切 需要 一 种 开放 性 的 标准 化 实用 网 络 环境 ， 在 这 
种 情况 下 ,两 种 国际 通用 的 最 重要 的 体系 结构 应 运 而 生 , 即 TCP/IP 体系 结构 和 国际 标准 化 
组 织 的 OSI 体系 结构 。 


4. 高 速 网 络 的 技术 阶段 


20 世纪 90 年 代 末 至 今 的 第 四 代 计 算 机 网 络 ， 是 随 着 网 络 技术 的 不 断 发 展 出 现 的 高 速 
网 络 技术 ， 如 千 兆 网 、 万 兆 网 、3G 乃至 4G 网络， 并且 网 络 功 能 向 综合 化 方向 发 展 ， 支 持 
多 种 媒体 信息 传输 ， 并 且 速 度 越 来 越 快 。 
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1.1.3 ”计算 机 网 络 的 基本 功能 


计算 机 网 络 最 主要 的 功能 ， 是 资源 共享 和 通信 ， 除 此 之 外 ， 还 有 负荷 均衡 、 分 布 处 理 
和 提高 系统 安全 与 可 靠 性 等 功能 。 其 基本 功能 表现 如 下 。 


1.， 软 、 硬 件 共享 


计算 机 网 络 允 许 网 络 上 的 用 户 共 享 网 络 上 各 种 不 同类 型 的 硬件 设备 ， 可 共享 的 硬件 资 
源 有 : 高 性 能 计算 机 、 大 容量 存储 器 、 打 印 机 、 图 形 设备 、 通 信 线 路 、 通 信 设 备 等 。 共 享 
硬件 的 好 处 是 提高 硬件 资源 的 使 用 效率 、 节 约 开支 。 

现在 已 经 有 许多 专 供 网 上 使 用 的 软件 , 如 数据 库 管 理 系统 、 各 种 Intemet 信息 服务 软件 
等 。 共 享 的 软件 允许 多 个 用 户 同时 使 用 ， 并 能 保持 数据 的 完整 性 和 一 臻 性。 特别 是 伴随 客 
户 机 /服务 器 (Client/Server，C/S) 和 浏览 器 /服务 器 (Browser/Server，B/S) 模 式 的 出 现 ， 人 们 可 
以 使 用 客户 机 来 访问 服务 器 ， 而 服务 器 软件 是 共享 的 。 在 B/S 方式 下 ， 软 件 版 本 的 升级 修 
改 ， 只 要 在 服务 器 上 进行 ， 全 网 用 户 可 立即 享受 。 可 共享 的 软件 种 类 很 多 ， 包 括 大 型 专用 
软件 、 各 种 网 络 应 用 软件 、 各 种 信息 服务 软件 等 。 


2. 信息 共享 


信息 也 是 一 种 资源 ，Intemet 就 是 一 个 巨大 的 信息 资源 宝库 ， 其 上 有 极为 丰富 的 信息 
它 像 是 一 个 信息 的 海洋 ， 有 取 之 不 尽 、 用 之 不 竭 的 信息 和 数据 。 每 一 个 接 入 Internet 的 用 户 
都 可 以 共享 这 些 信息 资源 。 可 共享 的 信息 资源 有 : 搜索 与 查询 的 信息 ，Web 服务 器 上 的 主 
页 及 各 种 链接 ，FTP 服务 器 中 的 软件 ， 各 种 各 样 的 电子 出 版 物 ， 网 上 消息 、 报 告 和 广告 ， 
网 上 大 学 ， 网 上 图 书馆 等 。 


3.， 通信 

通信 和 是 计算 机 网 络 的 基本 功能 之 一 ， 它 可 以 为 网 络 用 户 提 供 强 有 力 的 通信 手段 。 建 设 
计算 机 网 络 的 主要 目的 ， 就 是 让 分 布 在 不 同 地 理 位 置 的 计算 机 用 户 能 够 相互 通信 、 交 流 信 
息 。 计 算 机 网 络 可 以 传输 数据 以 及 声音 、 图 像 、 视 频 等 多 媒体 信息 。 利 用 网 络 的 通信 功能 ， 
可 以 发 送 电 子 邮件 、 打 电话 、 在 网 上 举行 视频 会 议 等 。 

4. 负荷 均衡 与 分 布 处 理 


负荷 均衡 是 指 将 网 络 中 的 工作 负荷 均匀 地 分 配给 网 络 中 的 各 计算 机 系统 。 当 网 络 上 某 
台 主 机 的 负载 过 重 时 ， 通 过 网 络 和 一 些 应 用 程序 的 控制 及 管理 ， 可 以 将 任务 交 给 网 络 上 其 
他 的 计算 机 去 处 理 ， 充 分 发 挥 网 络 系统 上 各 主机 的 作用 。 分 布 处 理 将 一 个 作业 的 处 理 分 为 
三 个 阶段 : 提供 作业 文件 、 对 作业 进行 加 工 处 理 、 把 处 理 结果 输出 。 在 单机 环境 下 ， 上 述 
三 步 都 在 本 地 计算 机 系统 中 进行 。 在 网 络 环境 下 ， 根 据 分 布 处 理 的 需求 ， 可 将 作业 分 配给 
其 他 计算 机 系统 进行 处 理 ， 以 提高 系统 的 处 理 能 力 ， 高 效 地 实现 一 些 大 型 应 用 系统 的 程序 
计算 以 及 大 型 数据 库 的 访问 等 。 


5. 系统 的 安全 与 可 靠 性 
系统 的 可 靠 性 对 于 军事 、 金 融和 工业 过 程控 制 等 领域 的 应 用 特别 重要 。 计 算 机 通过 网 


二 


PF 


络 中 的 元 余部 件 ， 能 够 大 大 提高 可 靠 性 。 例 如 ， 在 工作 过 程 中 ， 一 台 计 算 机 出 了 故障 ， 可 
以 使 用 网 络 中 的 另 一 台 计算 机 ; 网络 中 一 条 通信 线路 出 了 故障 ， 可 以 取道 另 一 条 线路 ， 从 
而 提高 网 络 系统 的 整体 可 靠 性 。 


1.1.4 计算 机 网 络 的 基本 应 用 


随 着 现代 社会 信息 化 进程 的 推进 ， 通 信和 计算 机 技术 迅猛 发 展 ， 计 算 机 网 络 的 应 用 变 
得 越 来 越 普及 ， 几 乎 深入 到 社会 的 各 个 领域 。 


1.， 在 教育 、 科 研 中 的 应 用 


通过 全 球 计算 机 网 络 ， 科 技 人 员 可 以 在 网 上 查询 各 种 文件 和 资料 ， 可 以 互相 交流 学 术 
思想 和 交换 实验 资料 ， 甚 至 可 以 在 计算 机 网 络 上 进行 国际 合作 研究 项 目 。 在 教育 方面 ， 可 
以 开设 网 上 学 校 ， 实 现 远程 授课 ， 学 生 可 以 在 家 里 或 其 他 可 以 将 计算 机 接 入 计算 机 网 络 的 
地 方 ， 利 用 多 媒体 交互 功能 听课 ， 有 什么 不 懂 的 问题 ， 可 以 随时 提问 和 讨论 。 学 生 可 以 从 
网 上 获得 学 习 参 考 资料 ， 并 且 可 通过 网 络 交 作 业 和 参加 考试 。 

2.， 在 办 公 中 的 应 用 


计算 机 网 络 可 以 使 单位 内 部 实现 办 公 自 动 化， 实现 软 、 硬 件 资源 共享 。 如 果 将 单位 内 
部 网 络 接 入 Intermet， 还 可 以 实现 异地 办 公 。 如 通过 WWW 或 电子 邮件 ， 公 司 可 以 很 方便 
地 与 分 布 在 不 同 地 区 的 子 公 司 或 其 他 业务 单位 建立 联系 ， 及 时 地 交换 信息 。 在 外 地 的 员工 
通过 网 络 还 可 以 与 公司 保持 通信 , 得 到 公司 的 指示 和 帮助 。 企 业 可 以 通过 Internet 搜集 市 场 
信息 ， 并 发 布 企业 产品 信息 。 


3. 在 商业 上 的 应 用 


随 着 计算 机 网 络 的 广泛 应 用 ,电子 数据 交换 (Electronic Data Interchange，EDD) 已 成 为 国 
际 贸易 往来 的 一 个 重要 手段 ， 它 以 一 种 被 认可 的 数据 格式 ， 使 分 布 在 全 球 各 地 的 贸易 伙伴 
可 以 通过 计算 机 传输 各 种 贸易 单据 ， 代 替 了 传统 的 贸易 单据 ， 节 省 了 大 量 的 人 力 和 物力 ， 
提高 了 效率 。 通 过 网 络 ， 可 以 实现 网 上 购物 和 网 上 支付 ， 例 如 ， 登 录 “ 当 当 ” 网 上 书城 
(www.dangdang.com) 购 买 图 书 等 。 

4. 在 通信 、 娱 乐 上 的 应 用 


在 过 去 的 20 世纪 中 ， 个 人 之 间 通 信 的 基本 工具 是 电话 ， 而 21 世纪 中 ， 个 人 之 间 通 信 
的 基本 工具 是 计算 机 网 络 。 目 前 ， 计 算 机 网 络 所 提供 的 通信 服务 包括 电子 邮件 、 网 络 寻 呼 
与 聊天 、BBS、 网 络 新 闻 和 卫 电话 等 。 

目前 ， 电 子 邮 件 已 广泛 应 用 。Intemet 上 存在 着 很 多 的 新 闻 组 ， 参 加 新 闻 组 的 人 可 以 在 
网 上 对 某 个 感 兴趣 的 问题 进行 讨论 ， 或 是 阅读 有 关 这 方面 的 资料 ， 这 是 计算 机 网 络 应 用 中 
很 受 欢 迎 的 一 种 通信 方式 。 

网 络 寻 呼 不 但 可 以 实现 在 网 络 上 进行 寻 呼 的 功能 ， 还 可 以 在 网 友之 间 进 行 网 络 聊天 和 
文件 传输 等 。IP 电话 也 是 基于 计算 机 网 络 的 一 类 典型 的 个 人 通信 服务 。 

家 庭 娱 乐 正在 对 信息 服务 业 产生 着 巨大 的 影响 ， 它 可 以 让 人 们 在 家 里 点 播 电影 和 电视 
节目 。 新 的 电影 可 能 成 为 交互 式 的 ， 观 众 在 看 电影 时 ， 可 以 不 时 地 参与 到 电影 情节 中 去 。 
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家 庭 电视 也 可 以 成 为 交互 式 的 ， 观 众 可 以 参与 到 猜谜 等 活动 中 。 

家 庭 娱 乐 中 最 重要 的 应 用 可 能 是 在 游戏 上 ， 目 前 ， 已 经 有 很 多 人 喜欢 上 玩 多 人 实时 仿 
真 游戏 。 如 果 使 用 虚拟 现实 的 头盔 和 三 维 、 实 时 、 高 清晰 度 的 图 像 ， 我 们 就 可 以 共享 虚拟 
现实 的 很 多 游戏 和 进行 多 种 训练 。 

随 着 网 络 技术 的 发 展 和 各 种 网 络 应 用 需求 的 增加 , 计算 机 网 络 应 用 的 范围 在 不 断 扩大 ， 
应 用 领域 越 来 越 拓宽 ， 越 来 越 深入 ， 许 多 新 的 计算 机 网 络 应 用 系统 不 断 地 被 开发 出 来 ， 如 
工业 自动 控制 、 辅 助 决 策 、 虚 拟 大 学 、 远 程 教学 、 远 程 医疗 、 信 息 管 理 系统 、 数 字 图 书馆 、 
电子 博物 馆 、 全 球 情报 检索 与 信息 查询 、 网 上 购物 、 电 子 商务 、 电 视 会 议 、 视 频 点 播 等 。 


1.2 计算 机 网 络 的 结构 组 成 


一 个 完整 的 计算 机 网 络 系统 是 由 网 络 硬件 和 网 络 软件 所 组 成 的 。 网 络 硬件 是 计算 机 网 
络 系统 的 物理 实现 ， 网 络 软件 是 网 络 系统 中 的 技术 支持 。 两 者 相互 作用 ， 共 同 完成 网 络 
的 功能 。 

(1) 网 络 硬件 ;一般 指 网 络 的 计算 机 、 传 输 介质 和 网 络 连接 设备 等 。 

(2) 网 络 软件 :一 般 指 网 络 操作 系统 、 网 络 通信 协议 等 。 


1.2.1 网 络 硬件 系统 


计算 机 网 络 硬件 系统 是 由 计算 机 (主机 、 客 户 机 、 终 端 )、 通 信 处 理 机 (集线器 、 交 换 机 、 
路 由 器 )、 通 信 线 路 ( 同 轴 电 缆 、 双 绞 线 、 光 纤 )、 信 息 变换 设备 (Modem， 即 编码 解码 器 ) 
等 构成 的 。 


1， 主 计算 机 


在 一 般 的 局 域 风 中， 主机 通常 被 称 为 服务 器 ， 是 为 客户 提供 各 种 服务 的 计算 机 ， 因 此 ， 
对 其 有 一 定 的 技术 指标 要 求 ， 特 别 是 主 、 辅 存储 容量 及 其 处 理 速度 要 求 较 高 。 根 据 服务 器 
在 网 络 中 所 提供 的 服务 的 不 同 ， 可 将 其 划分 为 文件 服务 器 、 打 印 服务 器 、 通 信服 务 器 、 域 
名 服务 器 、 数 据 库 服 务 器 等 。 


2. 网 络 工作 站 


除 服务 器 外 ， 网 络 上 的 其 余 计 算 机 主要 是 通过 执行 应 用 程序 来 完成 工作 任务 的 ， 我 们 
把 这 种 计算 机 称 为 网 络 工作 站 或 网 络 客户 机 ， 它 是 网 络 数据 主要 的 发 生 场 所 和 使 用 场所 ， 
用 户主 要 是 通过 使 用 工作 站 来 利用 网 络 资源 并 完成 自己 的 作业 的 。 


3. 网 络 终端 


网 络 终端 是 用 户 访问 网 络 的 界面 ， 它 可 以 通过 主机 连 入 网 内 ， 也 可 以 通过 通信 控制 处 
理 机 连 入 网 内 。 


4. 通信 处 理 机 
通信 处 理 机 一 方面 作为 资源 子 网 的 主机 、 终 端 连接 的 接口 ， 将 主机 和 终端 连 入 网 内 ; 


@. 


另 一 方面 ， 它 又 作为 通信 子 网 中 分 组 存储 转发 的 节点 ， 完 成 分 组 的 接收 、 校 验 、 存 储 和 转 
发 等 功能 。 

5. 通信 线路 

通信 线路 ( 链 路 ) 为 通信 处 理 机 与 通信 处 理 机 、 通 信和 处理 机 与 主机 之 间 提 供 通信 信道 。 

6. 信息 变换 设备 

信息 变换 设备 对 信号 进行 变换 ， 包 括 调制 解 调 器 、 无 线 通信 接收 和 发 送 器 、 用 于 光纤 
通信 的 编码 解码 器 等 。 
1.2.2 ”网 络 软件 系统 

在 计算 机 网 络 系统 中 ， 除 了 各 种 网 络 硬 件 设备 外 ， 还 必须 具有 网 络 软件 。 

1. 网 络 操作 系统 

网 络 操作 系统 是 网 络 软件 中 最 主要 的 软件 ， 用 于 实现 不 同 主机 之 间 的 用 户 通信 ， 以 及 
全 网 硬件 和 软件 资源 的 共享 ， 并 向 用 户 提 供 统一 的 、 方便 的 网 络 接口 , 便于 用 户 使 用 网 络 。 


目前 ， 网 络 操 作 系 统 有 三 大 阵营 : Unix、NetWare 和 Windows。 在 我 国 ， 最 广泛 使 用 
的 是 Windows 网 络 操作 系统 。 


2. 网 络 协议 软件 
网 络 协议 是 网 络 通信 的 数据 传输 规范 , 网 络 协议 软件 是 用 于 实现 网 络 协议 功能 的 软件 。 


目前 , 典型 的 网 络 协 议 软 件 有 TCP/IP 协议 、IPX/SPX 协议 、IEEE802 标准 协议 系列 等 。 
其 中 ，TCP/IP 是 当前 异种 网 络 互 连 中 应 用 最 为 广泛 的 网 络 协议 。 


3. 网络 管理 软件 

网 络 管理 软件 是 用 来 对 网 络 资源 进行 管理 以 及 对 网 络 进行 维护 的 软件 ， 如 性 能 管理 、 
配置 管理 、 故 障 管理 、 计 费 管 理 、 安 全 管理 、 网 络 运行 状态 监视 与 统计 等 。 

4. 网 络 通信 软件 

网 络 通信 软件 是 用 于 实现 网 络 中 各 种 设备 间 的 通信 ， 使 用 户 能 够 在 不 必 详 细 了 解 通信 
控制 规程 的 情况 下 ， 控 制 应 用 程序 与 多 个 站 进行 通信 ， 并 对 大 量 的 通信 数据 进行 加 工 和 管理 。 

5 网 络 应 用 软件 

网 络 应 用 软件 是 为 网 络 用 户 提供 服务 的 ， 其 最 重要 的 特征 ， 是 它 研究 的 重点 不 是 网 络 
中 各 个 独立 的 计算 机 本 身 的 功能 ， 而 是 如 何 实现 网 络 特有 的 功能 。 
1.2.3 ”计算 机 网 络 的 拓扑 结构 


当 我 们 组 建 计算 机 网 络 时 ， 要 考虑 网 络 的 布线 方式 ， 这 也 就 涉及 到 了 网 络 拓扑 结构 的 
内 容 。 网 络 拓扑 结构 指 网 络 中 的 计算 机 线 缆 ， 以 及 其 他 组 件 的 物理 布局 。 
局 域 网 常用 的 拓扑 结构 有 总 线 型 结构 、 环 型 结构 、 星 型 结构 、 树 型 结构 。 
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拓扑 结构 影响 着 整个 网 络 的 设计 、 功 能 、 可 靠 性 和 通信 费用 等 许多 方面 ， 是 决定 局 域 
网 性 能 优 劣 的 重要 因素 之 一 。 
1， 总 线 型 拓扑 结构 


总 线 型 拓扑 结构 是 指 网 络 上 的 所 有 计算 机 都 通过 一 条 电缆 相互 连接 起 来 。 

总 线 拓扑 结构 如 图 1-1 所 示 。 在 这 种 拓扑 结构 中 ， 总 线 上 任何 一 台 计 算 机 在 发 送信 息 
时 ， 其 他 计算 机 必须 等 待 。 而 且 计 算 机 发 送 的 信息 会 沿 着 总 线 向 两 端 扩 散 ， 从 而 使 网 络 中 
的 所 有 计算 机 都 会 收 到 这 个 信息 ， 但 是 否 接收 ， 还 取决 于 信息 的 目标 地 址 是 否 与 网 络 主机 
地 址 相 一 致 ， 若 一 致 ， 则 接收 ， 若 不 一 致 ， 则 不 接收 。 


1-1 总 线 型 拓扑 结构 


信号 反射 和 终结 器 : 在 总 线 型 网 络 中 ， 信 号 会 沿 着 网 线 发 送 到 整个 网 络 。 当 信和 号 到 达 
线 费 的 端点 时 ， 将 产生 反射 信号 ， 这 种 发 射 信号 会 与 后 续 信 号 发 生 冲 突 ， 从 而 使 通信 中 断 。 
为 了 防止 通信 中 断 ， 必 须 在 线 缆 的 两 端 安装 终结 器 ， 以 吸收 端点 信号 ， 防 止 信号 反弹 。 


一 条 共同 的 总 线 传播 ， 而 且 能 被 其 他 所 有 计算 机 接收 。 有 时 又 称 这 种 网 络 结构 为 点 对 点 
拓扑 结构 。 

(2) 优点 : 连接 简单 、 易 于 安装 、 成 本 费用 低 。 

(3) 缺点 ; 传送 数据 的 速度 缓慢 ， 由 于 共享 一 条 电缆 ， 只 能 有 其 中 一 台 计 算 机 发 送信 
息 ， 其 他 的 接收 信息 ;维护 困难 ， 因 为 网 络 一 旦 出 现 断 点 ， 整 个 网 络 将 肉 痰 ， 而 且 故 障 点 
很 难 查找 。 


2.， 星 型 拓扑 结构 


星 型 拓扑 结构 如 图 1-2 所 示 。 
I 人 ff gy [a DL 


I Lh DL 


1-2 ” 星 型 拓扑 结构 


在 这 种 拓扑 结构 中 ， 每 个 节点 都 由 一 个 单独 的 通信 线路 连接 到 中 心 节点 上 。 中 心 节点 
控制 全 网 的 通信 ， 任 何 两 台 计算 机 之 间 的 通信 都 要 通过 中 心 节点 来 转 接 。 因 此 ， 中 心 节点 


得 | 是 网 络 的 瓶颈 ， 这 种 拓扑 结构 又 称 为 集中 控制 式 网 络 结构 ， 这 种 拓扑 结构 是 目前 使 用 最 普 
机 | 遍 的 拓扑 结构 ， 处 于 中 心 的 网 络 设备 可 以 是 集线器 (Hub)， 也 可 以 是 交换 机 。 
(1) 优点 : 结构 简单 、 便 于 维护 和 管理 ， 因 为 其 中 某 台 计算 机 或 线 缆 出 现 问题 时 ， 不 
安 | 会 影响 其 他 计算 机 的 正常 通信 ， 维 护 比较 容易 。 
加 (2) 缺点 : 通信 线路 专用 ， 电 费 成 本 高 ;中心 节 点 是 全 网 络 的 瓶颈 ， 中 心 节点 出 现 故 
侧 | 障 会 导致 网 络 瘫痪 。 

3.， 环 型 拓扑 结构 

环 型 拓扑 结构 是 以 一 个 共享 的 环 型 信道 连接 所 有 设备 ， 称 为 令 牌 环 ， 其 结构 如 图 1-3 
所 示 。 
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1-3“ 环 型 拓扑 结构 


在 环 型 拓扑 中 ， 信 号 会 沿 着 环 型 信道 按 一 个 方向 传播 ， 并 通过 每 台 计 算 机 ， 每 台 计 算 
机 会 对 信号 进行 放大 后 ， 传 给 下 一 台 计 算 机 。 同 时 ， 在 网 络 中 有 一 种 特殊 的 信号 ， 称 为 令 
牌 ， 令 牌 按 顺 时 针 方 向 传输 。 当 某 台 计算 机 要 发 送信 息 时 ， 必 须 先 捕获 令 牌 ， 再 发 送信 息 ， 
信息 发 送 后 再 释放 令 牌 。 

环 型 结构 有 两 种 类 型 ， 即 单 环 结构 和 双环 结构 。 令 牌 环 (Token Ring) 是 单 环 结构 的 典型 
代表 ， 光 纤 分 布 式 数据 接口 EDDD 是 双环 结构 的 典型 代表 。 

环 型 结构 的 显著 特点 ， 是 每 个 节点 用 户 都 与 两 个 相 邻 节点 用 户 相连 。 

(1) 优点 : 电缆 长 度 短 。 环 型 拓扑 网 络 所 需 的 电缆 长 度 与 总 线 拓扑 网 络 的 差不多 ， 但 
比 星 型 拓扑 结构 的 要 短 得 多 。 

增加 或 减少 工作 站 时 ， 只 需 简 单 地 连接 ， 可 使 用 光纤 。 光 纤 的 传输 速度 很 高 ， 十 分 适 
合 于 环 型 拓扑 的 单 向 传输 ， 其 传输 信息 的 时 间 是 固定 的 ， 从 而 便于 实时 控制 。 

(2) 缺点 : 节点 过 多 时 影响 传输 效率 ， 环 某 处 断 开 会 导致 整个 系统 失效 ， 节 点 的 加 入 
和 撤 出 过 程 复杂 ; 检测 故障 困难 ， 因 为 不 是 集中 控制 ， 故 障 检测 需 在 网 上 各 个 节点 进行 ， 
所 以 故障 的 检测 就 不 是 很 容易 。 

4.， 树 型 拓扑 结构 


树 型 结构 是 星 型 结构 的 扩展 ， 它 由 根 节 点 和 分 支 节点 所 构成 ， 如 图 1-4 所 示 。 
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图 1-4” 树 型 拓扑 结构 


(1) 优点 : 结构 比较 简单 ， 成 本 低 。 扩 充 节点 时 方便 灵活 。 

(2) 缺点 :对 根 节点 的 依赖 性 大 ， 一旦 根 节点 出 现 故障 ， 将 导致 全 网 不 能 工作 ; 电 
缆 成 本 高 。 

5. 网 状 结构 与 混合 型 结构 


网 状 结构 是 指 将 各 网 络 节点 与 通信 线路 连接 成 不 规则 的 形状 ， 每 个 节点 至 少 与 其 他 两 
个 节点 相连 ， 或 者 说 ， 每 个 节点 至 少 有 两 条 链 路 与 其 他 节点 相连 ， 如 图 1-5(a) 所 示 。 大 型 
互联 网 一 般 采用 这 种 结构 ， 如 我 国 的 教育 科研 网 CERNET(b)、Internet 的 主干 网 ， 都 采用 
网 状 结构 。 

(1) 优点 : 可 靠 性 高 。 因 为 有 多 条 路 径 ， 所 以 可 以 选择 最 佳 路 径 ， 减 少时 延 ， 改 善 流 
量 分 配 ， 提 高 网 络 性 能 。 适 用 于 大 型 广域网 。 

(2) 缺点 : 结构 复杂 ， 不 易 管理 和 维护 ， 线 路 成 本 高 。 

混合 型 结构 是 由 以 上 几 种 拓扑 结构 混合 而 成 的 ， 如 环 星 型 结构 , 它 是 令 牌 环 网 和 FDDI 
网 常用 的 结构 。 再 如 总 线 型 和 星 型 的 混合 结构 等 。 


(a) 网 状 拓扑 结构 (b) CERNET 主干 网 拓扑 结构 
图 1-5 网 状 与 混合 型 拓扑 结构 
1.3 ”计算 机 网 络 的 分 类 


由 于 计算 机 网 络 自身 的 特点 ， 其 分 类 方法 有 多 种 。 根 据 不 同 的 分 类 原则 ， 可 以 得 到 不 
同类 型 的 计算 机 网 络 。 


A 


人 


rn 
EE 


1.3.1 ” 按 覆 盖 范 围 分 类 


(1) 按 网 络 所 覆盖 的 地 理 范 围 的 不 同 ， 计 算 机 网 络 可 分 为 局 域 网 (LAN)、 城 域 网 
(MAN)、 广 域 网 (WAN)。 
@ 局 域 网 (Local Area Network, LAN) 
局 域 网 是 将 较 小 地 理 区 域内 的 计算 机 或 数据 终端 设备 连接 在 一 起 的 通信 网 络 。 局 域 网 
覆盖 的 地 理 范 围 比较 小 ,一 般 在 几 十 米 到 几 千 米 之 间 。 它 常用 于 组 建 一 个 办 公 室 、 一 栋 楼 、 
个 楼 群 、 一 个 校园 或 一 个 企业 的 计算 机 网 络 。 局 域 网 主要 用 于 实现 短 距离 的 资源 共享 。 
图 1-6 给 出 的 是 一 个 由 几 台 计算 机 和 打印 机 组 成 的 典型 局 域 网 。 
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图 1-6 局 域 网 


局 域 网 的 特点 是 分 布 距离 近 、 传 输 速率 高 、 数 据 传输 可 靠 等 。 

@， 城 域 网 (Wide Area Network，WAN) 

城 域 网 是 一 种 大 型 的 LAN， 它 的 覆盖 范围 介 于 局 域 网 和 广域网 之 间 ， 一 般 为 几 千 米 至 
几 万 米 ， 城 域 网 的 覆盖 范围 在 一 个 城市 内 ， 它 将 位 于 一 个 城市 之 内 不 同 地 点 的 多 个 计算 机 
局 域 网 连接 起 来 ， 实 现 资源 共享 。 城 域 网 所 使 用 的 通信 设备 和 网 络 设备 的 功能 要 求 比 局 域 
网 高 ， 以 便 有 效 地 覆盖 整个 城市 的 地 理 范 围 。 一 般 在 一 个 大 型 城市 中 ， 城 域 网 可 以 将 多 个 
学 校 、 企 事业 单位 、 公 司 和 医院 的 局 域 网 连接 起 来 ， 共 享 资源 。 图 1-7 给 出 的 是 由 不 同 建 
筑 物 内 的 局 域 网 组 成 的 城 域 网 。 
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1-7 城 域 网 
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@ 广域网 (Wide Area Network, WAN) 

广域网 是 在 一 个 广阔 的 地 理 区 域内 进行 数据 、 语 音 、 图 像 信息 传输 的 计算 机 网 络 。 由 
于 远 距 离 数据 传输 的 带宽 有 限 ， 因 此 ， 广 域 网 的 数据 传输 速率 比 局 域 网 要 慢 得 多 。 广 域 网 
可 以 覆盖 一 个 城市 、 一 个 国家 ， 甚 至 于 全 球 。 因 特 网 (Intemet) 是 广域网 的 一 种 ， 但 它 不 是 
一 种 具体 的 、 独 立 性 的 网 络 ， 它 将 同类 或 不 同类 的 物理 网 络 (局 域 网 、 广 域 网 和 城 域 网) 互 
联 ， 并 通过 高 层 协议 实现 不 同类 网 络 间 的 通信 。 如 图 1-8 所 示 是 一 个 简单 的 广域网 。 


公用 交换 网 


图 1-8 广域网 连接 示意 


(2) 按照 网 络 中 计算 机 所 处 的 地 位 的 不 同 ， 可 以 将 计算 机 网 络 分 为 对 等 网 和 基于 客户 
机 、 服 务 器 模式 的 网 络 。 

中 ”对 等 网 

在 对 等 网 中 ， 所 有 的 计算 机 的 地 位 是 平等 的 ， 没 有 专用 的 服务 器 。 每 台 计 算 机 既 作为 
服务 器 ， 又 作为 客户 机 ， 既 为 别人 提供 服务 ， 也 从 别人 那里 获得 服务 。 由 于 对 等 网 没有 专 
用 的 服务 器 ， 所 以 在 管理 对 等 网 时 ， 只 能 分 别管 理 ， 不 能 统一 管理 ， 管 理 起 来 很 不 方便 。 
对 等 网 一 般 应 用 于 计算 机 较 少 、 安 全 要 求 不 高 的 小 型 局 域 网 。 

@ 基于 客户 机 /服务 器 模式 的 网 络 

在 这 种 网 络 中 ， 有 两 种 角色 的 计算 机 ， 一 种 是 服务 器 ， 一 种 是 客服 机 。 服 务 器 一 方面 
负责 保存 网 络 的 配置 信息 ， 另 一 方面 也 负责 为 客户 机 提供 各 种 各 样 的 服务 。 因 为 整个 网 络 
的 关键 配置 都 保存 在 服务 器 中 ， 所 以 ， 管 理 员 在 管理 网 络 时 ， 只 需要 修改 服务 器 的 配置 ， 
就 可 以 实现 对 整个 网 络 的 管理 了 。 同 时 ， 客 户 机 需要 获得 某 种 服务 时 ， 会 向 服务 器 发 送 请 
求 ， 服 务 器 接 到 请 求 后 ， 会 向 客户 机 提供 相应 的 服务 。 服 务 器 的 种 类 很 多 ， 有 邮件 服务 器 、 
Web 服务 器 、 目 录 服 务 器 等 ， 不 同 的 服务 器 可 以 为 客户 提供 不 同 的 服务 。 我 们 在 构建 网 络 
时 ， 一 般 选 择 配 置 较 好 的 计算 机 ， 在 其 上 安装 相关 服务 ， 就 成 了 服务 器 。 而 客户 机 主要 用 
于 向 服务 器 发 送 请 求 ， 获 得 相关 的 服务 。 如 客户 机 向 打印 服务 器 请 求 打印 服务 ， 向 Web 服 
务 器 请 求 Web 页 面 等 。 


1.3.2” 按 传播 方式 分 类 
按照 传播 方式 的 不 同 ， 可 将 计算 机 网 络 分 为 “广播 网 络 ”和 “点 -点 网 络 ”两 大 类 。 
1.， 广播 式 网 络 


广播 式 网 络 是 指 网 络 中 的 计算 机 或 者 设备 使 用 一 个 共享 的 通信 介质 进行 数据 传播 ， 网 
络 中 的 所 有 节点 都 能 收 到 任 一 节点 发 出 的 数据 信息 。 


目前 ， 在 广播 式 网 络 中 的 传输 方式 有 以 下 3 种 。 

(1) 单 播 : 采用 一 对 一 的 发 送 形式 ， 将 数据 发 送 给 网 络 中 的 所 有 目的 节点 。 
(2) 组 播 : 采用 一 对 一 组 的 发 送 形式 ， 将 数据 发 送 给 网 络 中 的 某 一 组 主机 。 
(3) 广播 : 采用 一 对 所 有 的 发 送 形式 ， 将 数据 发 送 给 网 络 中 的 所 有 目的 节点 。 
2. 点 -点 网 络 (Point-to-point Network) 


点 -点 式 网 络 即 两 个 节点 之 间 的 通信 方式 是 点 对 点 的 。 如 果 两 台 计 算 机 之 间 没 有 直接 连 
接 的 线路 ， 那 么 ， 它 们 之 间 的 分 组 传输 就 要 通过 中 间 节 点 来 接收 、 存 储 、 转 发 ， 直 至 抵 
达 目 的 节点 。 

点 -点 传播 方式 主要 应 用 于 WAN 中 ， 采 用 的 拓扑 结构 通常 有 星 型 、 环 型 、 树 型 ， 以 及 


1.3.3 ” 按 传输 介质 分 类 


根据 传输 介质 ， 可 将 网 络 分 为 有 线 网 和 无 线 网 。 

(1) 有 线 网 (Wired Network) 

@ 双 绞 线 : 其 特点 是 比较 经 济 、 安 装 方便 、 传 输 率 和 抗 干扰 能 力 一 般 ， 广 泛 应 用 于 
局 域 网 中 。 

@ 同 轴 电缆 : 俗称 细 绕 ， 现 在 逐渐 淘汰 。 

@ 光纤 电缆 : 特点 是 光纤 传输 距离 长 、 传 输 效 率 高 、 抗 干扰 性 强 ， 是 高 安全 性 网 络 
的 理想 选择 。 

(2) 无 线 网 (Wireless Network) 

Q@ 无 线 电话 网 :是 一 种 很 有 发 展 前 途 的 联网 方式 。 

@ 语音 广播 网 :价格 低廉 、 使 用 方便 ， 但 安全 性 差 。 

@ 无 线 电 视 网 : 普 及 率 高 ， 但 无 法 在 一 个 频道 上 与 用 户 进行 实时 交互 。 

@ ”微波 通信 网 : 通信 保密 性 和 安全 性 较 好 。 

@@ 卫星 通信 网 : 能 进行 远 距离 通信 ， 但 价格 昂贵 。 


1.3.4 ” 按 传输 技术 分 类 


计算 机 网 络 数据 依靠 各 种 通信 技术 进行 传输 。 根 据 网 络 传输 技术 分 类 ， 计 算 机 网 络 可 
分 为 以 下 5 种 类 型 。 

(1) 普通 电信 网 :普通 电话 线 网， 综合 数字 电话 网 ， 综 合 业 务 数字 网 。 

(2) 数字 数据 网 :利用 数字 信道 提供 的 永久 或 半 永 久 性 电路 ， 是 以 传输 数据 信号 为 主 
的 数字 传输 网 络 。 

(3) 虚拟 专用 网 : 指 客户 基于 DDN 智能 化 的 特点 ， 利 用 DDN 的 部 分 网 络 资源 ， 所 形 
成 的 一 种 虚拟 网 络 。 

(4) 微波 扩 频 通信 网 : 是 电视 传播 和 企 事 业 单 位 组 建 企业 内 部 网 和 接 入 Internet 的 一 种 
方法 ， 在 移动 通信 中 十 分 重要 。 

(5) 卫星 通信 网 : 是 近年 发 展 起 来 的 空中 通信 和 网络 。 与 地 面 通信 网 络 相 比 ， 卫 星 通信 
网 具有 许多 独特 的 优点 。 
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事实 上 ， 网 络 类 型 的 划分 在 实际 组 网 中 并 不 重要 ， 重 要 的 是 组 建 的 网 络 系统 从 功能 、 
速度 、 操 作 系统 、 应 用 软件 等 方面 能 否 满足 实际 工作 的 需要 ， 是 否 能 在 较 长 时 间 内 保持 相 
对 的 先进 性 ， 能 和 否 为 该 部 门 (系统 ) 带 来 全 新 的 管理 理念 、 管 理 方法 、 社 会 效益 和 经 济 效 
益 等 。 


1.4 计算 机 网 络 体系 结构 


所 谓 网 络 体系 ， 就 是 为 了 完成 计算 机 之 间 的 通信 合作 ， 把 计算 机 互 连 的 功能 划分 成 有 
明确 定义 的 层次 ， 规 定 同 层次 通信 的 协议 及 相 邻 层 之 间 的 接口 及 服务 等 。 将 这 些 同 层 进程 
通信 的 协议 及 相 邻 层 之 间 的 接口 统称 为 网 络 体系 结构 (Computer Network Architecture)。 


1.4.1 网 络 体系 结构 


1.， 网 络 协议 

网 络 协议 就 是 网 络 中 的 计算 机 之 间 能 够 进行 相互 交流 的 通信 标准 。 计 算 机 网 络 由 多 台 
互联 的 计算 机 组 成 ， 计 算 机 之 间 要 不 断 地 交换 数据 和 控制 信息 。 要 做 到 有 条 不 率 地 交换 数 
据 ， 每 台 计 算 机 都 必须 遵守 一 些 事先 约定 好 的 规则 。 这 些 为 网 络 数据 交换 而 制定 的 规则 、 
约束 和 标准 ， 被 称 为 网 络 协议 (Protocol)。 


2. 网 络 体系 结构 的 分 层 原 理 


网 络 协议 对 于 计算 机 网 络 是 不 可 缺少 的 。 一 个 功能 完备 的 计算 机 网 络 需要 制定 一 套 复 
杂 的 协议 集 ， 对 于 复杂 的 计算 机 网 络 协议 ， 最 好 的 组 织 方式 就 是 层次 结构 模型 。 计 算 机 网 
络 层次 结构 模型 和 各 层 协 议 的 集合 定义 为 计算 机 网 络 体系 结构 ， 表 示 计 算 机 网 络 系统 应 设 
置 多 少 层 ， 每 层 能 提供 哪些 功能 ， 以 及 各 层 之 间 的 关系 如 何 精确 地 定义 等 。 

例如 ， 在 海南 大 学 的 你 ， 要 与 在 中 山大 学 的 同学 通 一 封 信 ， 其 大 致 过 程 如 下 。 

(1) 把 信 写 好 ， 然 后 投 到 邮箱 中 。 

(2) 邮局 的 邮递 员 把 信 从 信箱 中 取 走 ， 送 到 邮局 的 分 拣 部 门 。 

(3) 邮局 分 拣 部 门 的 工作 人 员 按 照 邮 政 编码 或 地 址 进行 分 拣 、 打 包 。 

(4) 将 邮包 通过 汽车 、 火 车 或 飞机 送 到 广州 市 邮局 。 

(5) 广州 市 邮局 分 拣 部 门 的 工作 人 员 打 开 邮 包 ， 按 单位 地 址 再 分 类 。 

(6) 邮递 员 把 信 送 到 中 山大 学 的 信箱 。 

(7) 你 的 同学 打开 邮箱 ， 看 到 你 的 信 。 至 此 ， 通 信 过 程 完毕 。 

从 上 述 过 程 中 ， 可 以 得 出 下 列 结论 。 

第 一 ， 如 果 把 通信 过 程 看 成 是 每 一 步 分 工 合 作 ， 屠 么 ， 这 个 问题 就 很 容易 解释 。 在 这 
个 过 程 中 ， 每 一 步 的 相关 人 员 ， 包 括 写 信 的 你 和 收 信 的 同学 ， 都 有 自己 明确 的 分 工 ， 而 且 
是 互 不 干扰 的 。 此 外 ,我们 还 能 发 现 一 个 规律 ， 那 就 是 第 NN 步 总 要 在 第 N-1 步 做 好 的 基础 
上 才能 工作 ， 第 N-1 步 也 总 要 在 第 N-2 步 做 好 的 基础 上 才能 工作 ， 以 此 类 推 。 也 就 是 说 ， 
第 N-1 步 接受 第 N-2 步 的 服务 ， 同 时 ， 第 N-1 步 服务 于 第 Y 步 ， 即 第 步 在 接受 第 N-1 
步 服务 的 同时 ， 也 接受 了 第 N-2 步 及 之 前 几 个 步 又 的 服务 。 


第 二 ， 你 和 你 的 同学 只 关心 信 的 内 容 ， 而 不 关心 信 传 递 的 过 程 ， 不 需要 知道 是 谁 把 信 
取 走 的 ， 是 谁 把 信 送 到 的 。 

第 三 ， 真 正 把 信 从 海口 送 到 广州 的 是 第 4 步 ， 第 一 步 到 第 4 步 和 第 4 步 到 第 7 步 实际 
上 是 一 个 互 逆 的 过 程 。 假 如 你 的 同学 要 给 你 写 回信 的 话 ， 那 么 过 程 正好 相反 。 

我 们 可 以 把 这 个 过 程 中 的 每 一 步 看 成 是 一 层 ， 这 样 ， 可 以 帮助 我 们 更 好 地 理解 计算 机 
网 络 的 层次 结构 ， 从 而 更 好 地 理解 计算 机 网 络 体系 结构 
3. 网 络 体系 结构 分 层 的 意义 


在 网 络 分 层 结构 中 ， 每 一 层 协议 的 基本 功能 都 是 实现 与 男 外 一 个 层次 结构 中 对 等 实体 
间 的 通信 ， 称 为 对 等 层 协议 。 另 外 ， 每 一 层 还 要 提供 与 其 相 邻 的 上 层 协议 的 服务 接口 。 每 
一 层 是 其 下 一 层 的 服务 对 象 ， 同 时 又 是 上 一 层 的 服务 提供 者 。 也 就 是 说 ， 对 第 W 层 来 讲 ， 
它 通过 第 N-1 层 提供 的 服务 享用 到 了 N-1 层 以 内 的 所 有 层 的 服务 。 

网 络 体系 结构 分 层 具有 以 下 几 点 好 处 。 

(1) 独立 性 强 

独立 性 是 指 每 一 层 都 具有 相对 独立 的 功能 ， 它 不 必 知 道 下 一 层 是 如 何 实现 的 ， 只 要 知 
道 下 一 层 通 过 层 间 接口 提供 的 服务 是 什么 、 本 层 向 上 一 层 提供 的 服务 是 什么 就 可 以 了 。 至 
于 如 何 实 现 本 层 的 功能 、 采 用 什么 样 的 硬件 和 软件 ， 则 不 受 其 他 层 的 限制 。 

(2) 功能 简单 、 易 于 实现 和 维护 

系统 经 分 层 后 ， 整 个 复杂 的 系统 被 分 解 成 若干 个 小 范围 、 功 能 简单 的 部 分 ， 使 每 一 层 
的 功能 都 变 得 比较 简单 ， 降 低 了 网 络 实现 的 复杂 度 ， 有 利于 促进 标准 化 。 

(3) 适应 性 强 

当 任 何 一 层 发 生变 化 时 ， 只 要 层 间 接口 不 变 ， 那么 ,这 种 变化 就 不 影响 其 他 任何 一 层 ， 
层 内 设计 可 以 灵活 变动 。 


1.4.2 开放 系统 互联 参考 模型 OSI/RM 


世界 上 不 同年 代 、 不同 厂家 、 不 同型 号 的 计算 机 系统 千差万别 ， 将 这 些 系统 互联 起 来 ， 
就 要 彼此 开放 。 所 谓 开放 系统 ， 就 是 遵守 互联 标准 协议 的 系统 之 间 可 以 相互 通信 的 原则 ， 
尽管 这 些 网 络 的 内 部 结构 及 设备 不 尽 相 同 。 
国际 标准 化 组 织 (International Standard Organization，ISO) 是 世界 上 著名 的 标准 化 组 织 ， 
主要 由 美国 国家 标准 化 组 织 (American National Standards Institute, ANSI) 和 其 他 国家 的 国家 
标准 化 组 织 组 成 。1977 年 ， 国 际 标准 化 组 织 GSO) 适 应 网 络 向 标准 化 发 展 的 需求 ， 在 研究 、 
吸取 了 各 计算 机 厂商 网 络 体系 标准 化 经 验 的 基础 上 ， 制 定 了 开放 系统 互联 参考 模型 (Open 
System International Basic Reference Model，OSILRM)， 从 而 形成 了 著名 的 网 络 体系 结构 的 
国际 标准 。 

除了 国际 标准 化 组 织 提 出 的 开放 系统 互 连 体系 结构 之 外 ， 比 较 著名 的 体系 结构 还 有 以 
下 3 种: 

@ 美国 国防 部 提出 的 主要 应 用 于 Intemet 的 TCP/IP 体系 结构 。 

@ 国际 电话 与 电报 顾问 委员 会 (Consultative Committee of International Telegraph and 

Telephone，CCITT) 提 出 的 采用 分 组 交换 技术 的 公用 数据 网 X.25 体系 结构 。 
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@ 美国 电气 和 电子 工程 师 协会 (Institute of Electrical and Electronic Engineers，IEEE) 

专门 为 局 域 网 通信 和 制定 的 IEEE802 标准 模型 。 

OSI 模型 是 层次 化 的 ， 分 层 的 主要 意图 ， 是 允许 不 同 供应 商 的 网 络 产品 能 够 实现 相互 
操作 。 一 是 通过 网 络 组 件 的 标准 化 ， 允 许多 个 供应 商 进行 开发 ， 二 是 允许 各 种 类 型 的 网 络 
产品 (包括 软件 和 硬件 ) 相 互通 信 ; 三 是 防止 对 某 一 层 的 产品 所 做 的 改动 影响 到 其 他 层 ， 这 
样 有 利于 产品 的 开发 。 

OSI 构造 了 7 层 模 型 ， 即 物理 层 、 数 据 链 路 层 、 网 络 层 、 传 输 层 、 会 话 层 、 表 示 层 、 
应 用 层 ， 不 同系 统 对 等 层 之 间 按 相应 协议 进行 通信 ， 同 一 系统 不 同 层 之 间 通 过 接口 进行 通 
信 (OSI 参考 模型 如 图 1-9 所 示 )。7 层 中 ， 只 有 最 低层 物理 层 完 成 物理 数据 传递 ， 其 他 对 等 
层 之 间 的 通信 称 为 逻辑 通信 ， 其 通信 过 程 为 每 一 层 将 通信 数据 交 给 下 一 层 处 理 ， 下 一 层 对 
数据 加 上 若干 控制 位 后 ， 再 交 给 它 的 下 一 层 处 理 ， 最 终 由 物理 层 传递 到 对 方 的 物理 层 ， 再 
逐 层 向 上 传递 ， 从 而 实现 对 等 层 之 间 的 逻辑 通信 。 一 般 用户 由 最 上 层 的 应 用 层 提供 服务 。 


主机 A 


主机 B 


物理 传输 通道 


1-9 OSI 参考 模型 


1. 应 用 层 


应 用 层 是 OSI 的 最 高 层 ， 是 网 络 与 用 户 应 用 软件 之 间 的 接口 。 它 直接 通过 给 用 户 和 管 
理 者 提供 各 类 信息 来 为 用 户 终 端 服 务 ， 如 虚拟 终端 、 文 件 传送 、 远 程 用 户 登录 和 电子 数据 
交换 及 电子 邮件 等 。 


2.， 表示 层 

表示 层 因 它 的 用 途 而 得 名 ， 它 为 应 用 层 提供 数据 ， 并 负责 数据 转换 和 代码 的 格式 化 。 
一 种 成 功 的 传输 技术 意味 着 在 传输 之 前 要 将 数据 转换 为 标准 的 格式 。 表 示 层 在 网 络 内 部 实 
现 不 同 语句 格式 和 编码 之 间 的 转换 和 表示 ， 为 应 用 层 提供 服务 。 例 如 ， 数 据 的 压缩 和 解压 
缩 、 加 解密 等 工作 都 由 表示 层 负责 。 表 示 层 要 能 保证 从 一 个 系统 的 应 用 层 传输 过 来 的 数据 
能 够 被 另 一 个 系统 的 应 用 层 识别 。 

3. 会 话 层 

会 话 层 负责 在 网 络 中 的 两 节点 之 间 建 立 、 维 持 和 终止 通信 。 会 话 层 的 功能 包括 : 建立 
通信 连接 ， 保 持 会 话 过 程 通信 连接 的 畅通 ， 同 步 两 个 节点 之 间 的 对 话 ， 决 定 通信 是 否 被 中 


A 


算 | 断 ， 以 及 通信 中 断 时 决定 从 何 处 重新 发 送 。 

机 也 有 人 把 会 话 层 称 作 网 络 通信 的 “交通 警察 ”。 当 通过 拨号 向 ISP( 因 特 网 服务 提供 商 ) 
各 请 求 连接 到 因特网 时 ，ISP 服务 器 上 的 会 话 层 向 PC 客户 机 上 的 会 话 层 进行 协商 连接 。 若 电 
安 话 线 偶 然 从 墙 上 的 插 孔 脱落 ， 终 端 机 上 的 会 话 层 将 检测 到 连接 中 断 并 重新 发 起 连接 。 会 话 
基 


:| 层 通过 决定 节点 通信 的 优先 级 和 通信 时 间 的 长 短 来 设置 通信 期 限 。 
而 4. 传输 层 


传输 层 通过 通信 线路 ， 在 不 同 机 器 之 间 进 行程 序 和 数据 的 交换 。 传 输 层 的 一 个 很 重要 
的 功能 ， 是 数据 的 分 段 和 重组 ， 这 里 的 分 段 和 重组 ， 与 网 络 层 的 分 段 和 重组 是 两 个 不 同 的 
概念 。 网 络 层 的 分 段 是 数据 帧 大 小 的 减 小 ， 而 传输 层 的 分 段 是 指 把 一 个 上 层 数 据 分 割 成 一 
个 个 逻辑 片 或 者 物理 片 。 

也 就 是 说 ， 发 送 方 在 传输 层 中 将 上 层 交 给 它 的 较 大 的 数据 进行 分 段 后 ， 交 给 网 络 层 进 
行 独立 传输 。 这 样 ， 可 以 实现 传输 层 流量 控制 ， 提 高 网 络 资源 的 利用 率 。 

5， 网 络 层 


网 络 层 传送 的 数据 单位 是 分 组 。 网 络 层 的 主要 任务 ， 是 在 通信 子 网 中 选择 适当 的 路 由 。 
网 络 层 将 传输 层 生成 的 数据 分 段 封 装 成 分 组 ， 每 个 分 组 中 都 有 控制 信息 ， 称 为 报头 ， 其 中 
含有 源 站 点 和 目标 站 点 的 网 络 逻辑 地 址 信息 。 根 据 分 组 的 目的 网 络 地 址 实现 网 络 路 由 ， 确 
保 数 据 及 时 传送 。 


6.， 数据 链 路 层 


数据 链 路 层 定义 了 如 何 让 格式 化 数据 进行 传输 ， 以 及 如 何 控制 对 物理 介质 的 访问 。 这 
一 层 通常 还 提供 错误 检测 和 纠正 ， 以 确保 数据 的 可 靠 传输 。 


7. 物理 层 


物理 层 是 所 有 网 络 的 基础 。 主 要 定义 物理 设备 标准 ， 如 网 线 的 接口 类 型 、 光 纤 的 接口 
类 型 、 各 种 传输 介质 的 传输 速率 等 。 它 的 主要 作用 是 传输 比特 流 (就 是 由 1、0 转化 为 电流 
强 弱 来 进行 传输 ， 到 达 目 的 地 后 再 转化 为 1、0， 也 就 是 我 们 常 说 的 数 模 转换 与 模 数 转换 )。 
这 一 层 的 数据 叫 作 比特 。 

在 OSI 模型 中 , 应 用 层 实现 用 户 与 计算 机 的 接口 , 高层 负责 主机 之 间 应 用 程序 的 通信 。 
OSI 模型 的 高 三 层 定义 了 终端 系统 中 的 应 用 程序 将 如 何 彼此 进行 通信 ， 以 及 如 何 与 用 户 通 
信 ， 另 外 ， 高 三 层 并 不 知道 有 关 互 联网 或 网 络 地址 的 任何 信息 ， 这 是 下 四 层 的 任务 。 低 四 
层 定义 了 如 何 通 过 物理 电缆 或 通过 交换 机 和 路 由 器 进行 端 到 端的 数据 传输 。 


1.4.3 TCP/IP 体系 结构 
TCP/IP(Transmission Control Protocol / Intemet Protocol) 模 型 是 一 组 网 际 互联 的 通信 协 
议 ， 它 主要 考虑 异种 网 络 之 间 的 互联 问题 。 它 虽然 不 是 国际 标准 ， 但 基于 TCP/IP 协议 的 


Intemet， 目 前 已 经 发 展 成 为 世界 上 规模 最 大 、 拥 有 用 户 最 多 、 资 源 最 广 的 通信 网 络 。 
TCP/P 协议 已 被 广大 用 户 和 厂商 所 接受 ， 它 为 连接 不 同 操作 系统 、 不 同 硬件 体系 结构 
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的 互连网 络 提供 了 一 种 通信 手段 ， 其 目的 是 使 不 同 厂 家 生产 的 计算 机 能 在 各 种 网 络 环境 下 

进行 通信 。TCP/IP 实际 上 是 一 个 包括 很 多 协议 的 协议 能，TCP( 传 输 控制 协议 ) 和 他 (网 间 协 

议 ) 是 这 个 协议 簇 中 的 两 个 核心 协议 ， 是 保证 数据 完整 传输 的 两 个 最 基本 、 最 重要 的 协议 。 
1. TCPI/IP 体系 结构 


TCP/IP 是 一 个 4 层 体 系 结构 ， 包 括 应 用 层 、 传 输 层 、 网 络 层 (也 称 网 际 层 或 Internet 层 ) 
和 网 络 接口 层 ， 但 实际 上 ， 最 下 面 的 接口 层 没 有 什么 具体 内 容 ， 它 对 应 于 OSI 模型 中 的 物 
理 层 和 数据 链 路 层 。 而 在 Intemet 中 ,重点 考虑 的 是 能 把 各 种 各 样 的 通信 子 网 互联 起 来 ， 所 
以 ，TCP/IP 专门 设置 了 一 个 网 络 层 ， 它 是 整个 模型 中 的 核心 和 关键 ， 该 层 运行 的 协议 就 是 
卫 协议 。TCP/IP 体系 结构 与 OSIRM 模型 的 对 应 关系 如 表 1-1 所 示 。 


表 1-1 TCP/IP 体系 结构 与 OSI/RM 模型 的 对 应 关系 


OSI 模型 结构 TCP/IP 体系 模型 TCPI/IP 协议 簇 
应 用 层 
Eee s HTTP、FTP、TFTP、SMTP、SNMP、Telnet、 
表示 层 应 用 层 
| RPC、DNS.… 
会 话 层 
传输 层 传输 层 TCP、UDP 
网 络 层 网 络 层 IP、ARP、RARP、ICMP、IGMP 
下 网 络 接口 层 Ethemet、ATM、FDDI、X.25、PPP、Token-Ring 


(1) 网 络 接口 层 

TCP/IP 与 各 种 物 联 网 络 的 接口 称 为 网 络 接口 层 , 它 与 OSI 模型 中 的 数据 链 路 层 和 物理 
层 对 应 。 网 络 接口 层 负责 接 收 分 组 ， 并 把 分 组 封装 成 数据 帧 ， 再 将 数据 帧 发 送 到 指定 的 网 
络 。 实 际 上 ，TCP/IP 在 这 一 层 没 有 任何 特定 的 协议 ， 而 是 允许 主机 连 入 网 络 时 使 用 多 种 现 
成 的 、 流 行 的 协议 ， 如 Ethemet 协议 、ATM 协议 、X.25 协议 等 。 网 络 接口 也 可 以 有 多 种 ， 
它 支 持 多 种 逻辑 链 路 控制 和 介质 访问 控制 协议 ， 其 目的 就 是 将 各 种 类 型 的 网 络 (LAN、 
MAN、WAN) 进 行 互 联 ， 因 此 ，TCP/IP 可 运行 在 任何 网 络 上 。 

(2) 网 络 层 

网 络 层 是 整个 TCP/IP 体系 结构 的 核心 部 分 ， 它 解决 两 个 不 同 IP 地 址 的 计算 机 之 间 的 
通信 问题 , 具体 包括 形成 他 分 组 、 寻 址 、 检验 分 组 的 有 效 性 、 去 掉 报头 和 选择 路 由 等 功能 ， 
将 分 组 转发 到 目的 计算 机 。 网 络 层 包括 以 下 几 个 核心 协议 : 网 际 协议 一、 网 际 控制 信息 协 
议 ICMP、 地 址 解析 协议 ARP、 逆 向 地 址 解析 协议 RARP 和 网 际 组 信息 协议 IGMP。 

其 中 ，IP 协议 是 Intemet 中 的 基础 协议 和 重要 组 成 部 分 ， 其 主要 作用 是 进行 寻 址 和 路 
由 选择 ， 并 将 分 组 从 一 个 网 络 转发 到 另 一 个 网 络 。 它 将 分 组 传输 到 目的 主机 后 ， 不 管 传 输 
正确 与 否 ， 都 不 进行 检查 ， 不 回 送 确认 ， 没 有 流量 控制 和 差错 控制 功能 ， 这 些 功 能 留 给 上 
层 协议 TCP 来 完成 。IP 只 是 尽力 传输 数据 到 目的 地 ， 但 不 提供 任何 保证 。 

(3) 传输 层 

传输 层 的 作用 ， 是 负责 将 源 主机 的 数据 信息 发 送 到 目的 主机 上 ， 源 主机 和 目的 主机 可 
以 在 一 个 网 上 ， 也 可 以 在 不 同 的 网 上 。 传 输 层 有 两 个 端 到 端的 协议 : 传输 控制 协议 TCP 
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算 | (Transmission Control ProtocoD 和 用 户 数据 报 协议 UDP(User Datagram Protocol) 。 
机 中 ”传输 控制 协议 TCP 
内 TCP 协议 是 传输 层 著名 的 协议 ， 它 定义 了 两 台 计算 机 之 间 进 行 可 靠 的 数据 传输 所 交换 
安 | 的 数据 和 确认 信息 的 格式 ， 以 及 确保 数据 正确 到 达 而 采取 的 措施 。 
全 TCP 协议 是 一 个 面向 连接 的 协议 。 所 谓 面向 连接 ， 就 是 当 计 算 机 双方 通信 时 ， 必 须 经 
础 | 历 三 个 阶段 ， 即 先 建立 连接 ， 然 后 进行 数据 传输 ， 最 后 拆除 连接 。TCP 在 建立 连接 时 ， 又 
要 分 为 三 步 ， 也 就 是 常 说 的 TCP 三 次 握手 (Three-way Handshake)。TCP 三 次 握手 的 具体 
过 程 如 下 : 
@ A 进程 向 B 进程 发 出 连接 请 求 ， 包 含 A 端的 初始 序号 义 。 
eB 进程 收 到 请 求 后 , 发 回 连接 确认 , 包含 B 端的 初始 序号 Y 和 对 A 端的 初始 序号 
义 的 确认 。 
@ A 进程 收 到 B 进程 的 确认 后 ， 向 B 进程 发 送 义 +1 号 数据 ,包括 对 B 进程 初始 序 
号 Y 的 确认 。 

至 此 ， 一 个 TCP 连接 完成 ， 然 后 才 开 始 通信 的 第 二 步 数据 传输 ， 最 后 ， 第 三 步 是 连接 
释放 。TCP 连接 释放 过 程 与 建立 过 程 类 似 ， 同 样 使 用 三 次 握手 方式 释放 。 一 方 释放 请 求 后 
并 不 立即 断 开 连接 ， 而 是 等 待 对 方 确 认 ， 对 方 收 到 请 求 后 ， 发 回 确认 信息 ， 并 释放 连接 ， 
发 送 方 收 到 确认 信息 后 才 拆 除 连 接 。 

面向 连接 是 保证 数据 传输 可 靠 性 的 重要 前 提 。 除 此 之 外 ，TCP 为 了 保证 可 靠 性 ， 还 有 
确认 、 重 传 机 制 和 拥塞 控制 。 确 认 是 接收 端 对 接收 到 最 长 字 节 流 (TCP 段 也 是 字 节 流 ) 进 行 
确认 ， 而 不 是 对 每 个 字 节 进行 确认 ; 超时 重 传 是 一 个 时 间 片 ， 如 果 某 个 字 节 在 发 送 的 时 间 
片 内 得 不 到 确认 ， 发 送 就 认为 该 字 节 出 现 了 故障 ， 就 会 再 次 发 送 ， 拥 塞 控制 限制 发 送 端 发 
送 数据 的 速率 ， 它 是 通过 控制 发 送 窗口 的 大 小 (可 连续 发 送 的 字 节 数 的 多 少 ) 而 实现 的 。 

@ ”用户 数据 报 协 议 UDP 

UDP 协议 是 最 简单 的 传输 层 协 议 。 与 人 P 不 同 的 是 ，UDP 提供 协议 的 端口 号 ， 以 保证 
进程 通信 。UDP 可 以 根据 端口 号 对 许多 应 用 程序 进行 多 路 复 用 ， 并 检查 数据 的 完整 性 。 

UDP 与 TCP 相 比 ， 协 议 更 为 简单 ， 因 为 没有 了 建立 、 拆 除 连 接 过 程 和 确认 机 制 ， 数 据 
传输 速率 较 高 。 由 于 现代 通信 子 网 可 靠 性 较 高 ， 因 此 ，UDP 具有 更 高 的 优越 性 。 

UDP 被 广泛 应 用 于 一 次 性 的 事务 型 应 用 (一 次 事务 只 有 一 来 一 回 的 两 次 信息 交换 )， 以 
及 要 求 效 率 比 可 靠 性 更 为 重要 的 应 用 程序 ， 如 人 P 电话 、 网 络 会 议 、 可 视 电话 、 视 频 点 播 等 
传输 语音 或 影像 等 多 媒体 信息 的 场合 。 

(4) 应 用 层 

TCP/IP 的 应 用 层 与 OSI 模型 的 高 三 层 相对 应 , 将 OSI 的 高 三 层 合并 为 一 层 。 它 为 用 户 
提供 调用 和 访问 网 络 上 各 种 应 用 程序 的 接口 ， 并 向 用 户 提 供 各 种 标准 的 应 用 程序 及 相应 的 
协议 。 应 用 层 的 主要 功能 是 使 应 用 程序 、 应 用 进程 与 协议 相互 配合 ， 发 送 或 接收 数据 。 该 
层 协议 可 分 为 以 下 三 类 。 

Q@ 依赖 于 面向 连接 的 TCP 协议 。 如 远程 登录 协议 Telnet(Telecommunication Network)、 
文件 传输 协议 FTP(File Transfer Protocol)、 简 单 邮件 传输 协议 SMTP(Simple Mail Transfer 
Protocol) 等 。 

@ ”依赖 于 无 连接 的 UDP 协议 。 简 单 网 络 管理 协议 SNMP、NetBIOS、 远 程 过 程 调用 
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协议 RPC 等 。 

@” 既 依赖 于 TCP 协议 ， 又 依赖 于 UDP 协议 。 超 文本 传输 协议 HTTP(HyperText 
Transfer Protocol)、 通 用 信息 协议 CMOT 等 。 

基于 TCP/IP 协议 的 Intemet， 目 前 已 发 展 成 为 世界 上 规模 最 大 、 拥 有 用 户 最 多 、 资 源 
最 广泛 的 通信 网 络 。TCP/IP 协议 也 成 为 事实 上 的 工业 标准 。 

2. IP 地址 


就 如 同 每 个 人 都 有 一 个 绝 不 重复 的 身份 证 号 一 样 ， 网 络 中 的 每 一 台 计 算 机 也 需要 一 个 
专用 的 “身份 证 号 ” 

IP 地 址 就 是 给 每 个 连接 在 Intemet 上 的 主机 或 路 由 器 分 配 的 一 个 “身份 证 号 ”一 一 唯 
一 的 编号 。 IP 地 址 有 IPv4 和 IPv6 两 个 版 本 , 分 别 采用 32 位 和 128 位 二 进 制 数 表示 。 目前， 
网 络 系统 中 广泛 使 用 的 仍然 是 IPv4 版 本 ，IPv6 是 下 一 代 互 联网 地 址 的 理想 选择 。 


1.5 计算 机 网 络 设备 
计算 机 网 络 设备 主要 包括 网 卡 、 集 线 器 、 交 换 机 、 路 由 器 和 网 关 等 。 


1.5.1 网 卡 


网 卡 又 叫 网 络 适 配器 (Network Adapter), 是 计算 机 连 入 网 络 的 物理 接口 。 每 一 台 接 入 网 
络 的 计算 机 ， 包 括 工 作 站 和 服务 器 ， 都 必须 在 它 的 扩展 槽 中 插入 一 个 网 卡 ， 通 过 网 卡 上 的 
电缆 接头 接 入 网 络 的 电缆 系统 。 

网 卡 一 方面 要 完成 计算 机 与 电缆 系统 的 物理 连接 另 一 方面 ， 它 要 根据 所 采用 的 介质 
访问 控制 MAC) 协 议 实现 数据 帧 的 封装 和 拆 封 ， 以 及 差错 校 验 和 相应 的 数据 通信 管理 。 网 
卡 是 与 通信 介质 和 拓扑 结构 直接 相关 的 硬件 接口 。 目 前 ， 市 场 上 销售 的 网 卡 品 种 繁多 ， 人 性 
能 差异 也 很 大 。 

(1) 按照 网 卡 支持 的 数据 传输 速率 分 类 

目前 ， 主 流 的 网 卡 主要 有 10Mbps 网 卡 、100Mbps 网 卡 、10/100Mbps 自 适 应 网 卡 、 
100/1000Mbps 自 适 应 网 卡 、10/100/1000Mbps 自 适应 网 卡 和 1000Mbps 网 卡 等 。 

根据 数据 传输 速率 的 要 求 ， 网 卡 可 以 仅 支 持 10Mbps 或 100Mbps 的 数据 传输 速率 ， 也 
可 以 同时 支持 10Mbps 与 100Mbps 的 数据 传输 速率 ， 并 能 自动 侦 测 网 络 的 数据 传输 速率 。 

(2) 按 网 卡 所 支持 的 传输 介质 接口 类 型 分 类 

网 卡 按 支持 的 传输 介质 , 主要 分 为 适用 于 双 绞 线 的 RJ-45 接口 网 卡 、 适 用 于 电缆 的 BNC 
接口 网 卡 、 适 用 于 粗 缆 的 AUI 接口 网 卡 、 适 用 于 光纤 的 F/O 接口 网 卡 。 针 对 不 同 的 传输 介 
质 ， 网 卡 提 供 了 相应 的 接口 。 

目前 ， 大 多 数 以 太 网 卡 支持 RJ-45、 光 纤 接 口 ， 或 者 同时 支持 这 两 种 接口 。RJ-45 接口 
用 于 连接 双 绞 线 ， 光 纤 接 口 用 于 连接 光缆。 双 绞 线 和 光缆 这 两 种 传输 介质 是 目前 最 佳 的 支 
持 结构 化 网 络 布线 的 传输 介质 ， 而 粗 缆 和 细 缆 已 不 再 适应 网 络 的 发 展 。 

(3) 按 网 卡 所 支持 的 总 线 接口 类 型 分 类 

网 卡 按 其 所 支持 的 总 线 接口 类 型 ， 主 要 分 为 ISA 网 卡 和 了 PCI 网卡， 以 及 在 服务 器 上 的 
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"| PCI-X 网 卡 。 笔 记 本 电脑 使 用 的 网 卡 一 般 是 PCMCIA 接口 类 型 的 。 另 外 ， 无 线 网 卡通 常 选 
机 | 用 PCI 或 USB 接口 。 

内 网 卡 必须 与 它 所 连接 的 计算 机 总 线 类 型 相 适 应 。 目 前, 普通 台式 机 的 总 线 主要 是 32 位 
安 的 PCI 总线 ， 而 服务 器 上 的 主机 接口 总 线 为 64 位 的 PCI、PCI-X 等 。 

全 
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让 1.5.2 ”中 继 器 和 集线器 

中 继 器 (Repeater) 和 集线器 (Hub) 属 于 物理 层 设备 。 中 继 器 也 称 转发 器 或 者 接收 器 , 集 线 
器 从 功能 上 说 ， 也 是 一 种 中 继 器 。 物 理 层 的 互 连 设备 可 以 将 一 个 传输 介质 传输 过 来 的 二 进 
制 信号 进行 复制 、 整 形 、 再 生 和 转发 。 物 理 层 的 互 连 设备 是 网 络 互 连 最 简单 的 设备 ， 用 来 
连接 具有 相同 物理 层 协议 的 局 域 网 ， 使 得 它们 组 成 同一 个 网 络 ， 网 络 上 的 节点 共享 带宽 。 
1.， 中 继 器 


中 继 器 属于 网 络 物理 层 互 连 设备 ， 其 外 观 如 图 1-10 所 示 。 由 于 信号 在 网 络 传输 介质 中 
有 衰减 和 噪声 ， 使 有 用 的 信号 变 得 越 来 越 弱 ， 因 此 ， 为 了 保证 有 用 数据 的 完整 性 ， 并 在 一 
定 范围 内 传送 ， 要 用 中 继 器 把 所 有 接 到 的 弱 信 号 分 离 ， 并 再 生 放大 ， 以 保持 与 原 数据 相同 。 
2. 集线器 


集线器 的 英文 名 称 为 Hub， 其 外 观 如 图 1-11 所 示 。Hub 是 “中 心 ” 的 意思 。 集 线 器 的 
主要 功能 ， 是 对 接收 到 的 信号 进行 再 生 整 形 放大 ， 以 扩大 网 络 的 传输 距离 ， 同 时 ， 把 所 有 
节点 集中 在 以 它 为 中 心 的 节点 上 。 它 工作 于 OSI 参考 模型 的 第 一 层 ， 即 “物理 层 ”。 集 线 
器 与 网 卡 、 网 线 等 传输 介质 一 样 ， 属 于 局 域 网 中 的 基础 设备 ， 采 用 CSMA/CD( 一 种 检测 协 
议 ) 访 问 方式 。 


图 1-10 中 继 器 的 外 观 图 1-11 集线器 的 外 观 
集线器 属于 纯 硬 件 网 络 底层 设备 ， 基 本 上 不 具有 类 似 于 交换 机 的 “智能 记忆 ”能 力 和 
“学 习 ” 能 力 。 它 也 不 具备 交换 机 所 具有 的 MAC 地 址 表 ， 所 以 ， 它 发 送 数据 时 ， 都 是 没 
有 针对 性 的 ， 而 是 采用 广播 方式 发 送 。 也 就 是 说 ， 当 它 要 向 某 节 点 发 送 数据 时 ， 不 是 直接 
把 数据 发 送 到 目的 节点 ， 而 是 把 数据 包 发 送 到 与 集线器 相连 的 所 有 节点 。 


1.5.3 ”网 桥 和 交换 机 


网 桥 (Bridge) 和 交换 机 (Switchb) 同 属于 数据 链 路 层 互 连 设备 。 数 据 链 路 层 互 连 设备 作用 
于 物理 层 和 数据 链 路 层 ， 用 于 对 网 络 中 节点 的 物理 地 址 进行 过 滤 、 网 络 分 段 ， 以 及 跨 网 段 
数据 帧 的 转发 。 它 既 可 以 延伸 到 局 域 网 的 距离 ， 扩 充 节 点 数 ， 又 可 以 将 负荷 过 重 的 网 络 划 
分 为 较 小 的 网 络 ， 缩 小 冲突 域 ， 起 到 改善 网 络 性 能 和 提高 网 络 安全 性 的 作用 。 
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1.， 网 桥 


网 桥 (Bridge) 是 一 种 存储 转发 设备 。 网 桥 可 以 根据 网 卡 的 物理 地 址 ， 对 数据 帧 进行 过 滤 
和 存储 转发 ， 通 过 对 数据 帧 筛选 ， 实 现 网 络 分 段 。 当 一 个 数据 帧 通过 网 桥 时 ， 网 桥 检查 数 
据 帧 的 源 和 目的 物理 地 址 ， 如 果 这 两 个 地 址 属于 不 同 的 网 段 ， 则 网 桥 将 该 数据 帧 转发 到 另 
一 个 网 段 ， 否 则 不 转发 。 所 以 ， 网 桥 能 起 到 隔离 网 段 的 作用 ， 对 共享 式 网 络 而 言 ， 网 络 的 
隔离 就 意味 着 缩小 了 冲突 域 ， 提 高 了 网 络 的 有 效 带 宽 。 但 是 ,现在 由 于 交换 机 的 广泛 使 用 ， 
网 桥 基本 上 已 经 退出 市 场 。 

2 交换 机 


交换 机 (Switchb) 也 叫 交换 式 集线器 ， 是 一 种 工作 在 数据 
链 路 层 上 的 、 基 于 MAC( 网 卡 的 介质 访问 控制 地 址 ) 识 别 、 i 
能 完成 封装 转发 数据 包 功 能 的 网 络 设备 ， 也 可 以 看 作 是 多 
端口 的 桥 (Multi-Port Bridge)， 有 具体 如 图 1-12 所 示 。 它 通过 
对 信息 进行 重新 生成 ， 并 经 过 内 部 处 理 后 转发 至 指定 端口 ， 
具备 自动 寻 址 功能 和 交换 作用 。 

交换 机 不 识别 人 P 地 址 ， 但 它 可 以 “学 习 ” 源 主机 的 MAC 地址， 并 将 其 存放 在 内 部 地 
址 表 中 ， 通 过 在 数据 帧 的 始 发 者 和 目标 接收 者 之 间 建 立 临时 的 交换 路 径 ， 使 数据 帧 直接 由 
源 地 址 到 达 目 的 地 址 。 交 换 机 上 的 所 有 端口 均 有 独 享 的 信道 带宽 ， 以 保证 每 个 端口 上 数据 
的 快速 有 效 传 输 。 交 换 机 根据 所 传递 信息 包 的 目的 地 址 ， 将 每 一 信息 包 独 立地 从 源 端 口 送 
至 目的 端口 ， 而 不 会 向 所 有 端口 发 送 ， 从 而 避免 了 与 其 他 端口 发 生 冲突 。 因 此 ， 交 换 机 可 
以 同时 地 、 互 不 影响 地 传送 这 些 信 息 包 ， 并 防止 传输 冲突 ， 提 高 了 网 络 的 实际 吞吐 量 。 

交换 机 可 以 分 为 不 同 的 类 型 ， 交 换 机 选 型 时 ， 可 以 参照 以 下 分 类 。 

(1) 简单 的 10Mbps 或 100Mbps 局 域 网 交换 机 

简单 的 10Mbps 或 100Mbps 局 域 网 交换 机 只 能 提供 固定 数量 的 端口 ， 用 来 连接 专用 的 
10Mbps 或 100Mbps 以 太 网 节点 。 

(2) 10/100Mbps 或 100/1000Mbps 自 适应 的 局 域 网 交换 机 

10/100Mbps 或 100/1000Mbps 自 适应 的 局 域 网 交换 机 是 一 种 小 型 以 太 网 交换 机 ， 由 于 
采用 了 10/100Mbps 或 100/1000Mbps 自动 检测 技术 ， 它 可 以 自动 检测 端口 连接 设备 的 传输 
速率 和 工作 方式 ,并 自动 做 出 调整 , 以 保证 10Mbps 与 100Mbps 节点 或 100Mbps 与 1000Mbps 
节点 工作 在 同一 网 络 中 。 

(3) 大 型 局 域 网 交换 机 

大 型 局 域 网 交换 机 是 一 种 箱 式 结构 ， 在 机 箱 中 可 以 灵活 地 插入 各 种 模块 ， 如 10Mbps 
以 太 网 模块 、100Mbps 快速 以 太 网 模块 、 千 兆 位 以 太 网 模块 、 路 由 器 模块 、 网 桥 模块 、 中 
继 器 模块 、ATM 模块 及 FDDI 模块 。 通 过 它 ， 可 以 构成 大 型 局 域 网 的 主干 网 。 

(4) 支持 虚拟 局 域 网 的 局 域 网 交换 机 

支持 虚拟 局 域 网 (Virtual LAN, VLAN) 的 交换 机 , 可 以 将 不 同 端口 的 节点 划分 到 同一 个 
广播 域 中 ， 这 样 ， 将 大 大 提高 网 络 的 安全 性 ， 提 高 网 络 的 有 效 带 宽 ， 同 时 ， 便 于 网 络 的 架 
设 和 维护 。 


1-12 ”交换 机 外 观 


| 


1.5.4 路 由 器 


路 由 器 是 一 种 连接 多 个 网 络 或 网 段 的 网 络 设备 ， 它 可 以 对 不 同 网 络 或 网 段 之 间 的 数据 
信息 进行 “翻译 ”， 以 使 它们 能 够 相互 “ 读 ” 懂 对 方 的 数据 ， 从 而 构成 一 个 更 大 的 网 络 。 
也 可 以 说 ， 路 由 器 构成 了 Intemet 的 骨架 。 

网 络 层 互 连 设备 主要 是 路 由 器 ， 它 广泛 应 用 于 局 域 网 和 局 域 网 、 局 域 网 和 广域网 、/ 
域 网 和 广域网 之 间 的 互 连 ， 而 且 是 Intermet、Intranet 和 Extranet 中 必 不 可 少 的 设备 之 一 。 

路 由 器 的 外 观 如 图 1-13 所 示 ， 有 多 个 端口 ， 端 口 分 为 LAN 
端口 和 串 行 端口 ( 即 广域网 端口 )。 每 个 LAN 端口 连接 成 一 个 局 _ 

域 网 ， 串 口 连 接 电信 部 门 ， 将 局 域 网 接 入 广域网 。 路 由 器 的 主 ~ 

要 功能 ， 是 路 由 选择 和 数据 交换 。 当 一 个 数据 包 到 达 路 由 器 时 ， 

路 由 器 根据 数据 包 的 目标 逻辑 地 址 ， 查 找 路 由 表 。 路 由 表 中 存 

有 网 络 中 各 节点 的 地 址 和 各 地 址 间 的 距离 ， 其 作用 是 在 数据 传 图 1-13 ”路 由 器 的 外 观 
输 时 选择 合适 的 路 径 。 如 果 存 在 一 条 到 达 目 标 网 络 的 路 径 ， 路 

由 器 将 数据 包 转 发 到 相应 的 端口 ， 如 果 目 标 网 络 不 存在 ， 数 据 包 则 被 丢弃 。 


1.5.5 ”网关 


众所周知 ， 从 一 个 房间 进入 另 一 个 房间 时 ， 必 然 要 经 过 一 扇 门 。 同 样 ， 从 一 个 网 络 向 
另 一 个 网 络 发 送信 息 时 ， 也 必须 经 过 一 道 “关口 ”， 这 道 关 口 就 是 网 关 。 顾 名 思 义 ， 网 关 
(Gateway) 就 是 一 个 网 络 连接 到 另 一 个 网 络 的 “关口 ”。 

总 地 来 说 ， 网 关 是 能 够 连接 不 同 网 络 的 软件 和 硬件 相 结合 的 产品 ， 网 关 不 能 完全 归纳 
为 一 种 网 络 硬件 。 它 可 以 使 用 不 同 的 格式 、 通 信 协 议 或 结构 连接 两 个 系统 ， 又 称 网 间 连 接 
器 、 协 议 转换 器 。 网 关 实 际 上 通过 重新 封装 信息 以 使 它们 能 够 被 另 一 个 系统 读 取 。 为 了 完 
成 任务 ， 网 关 必 须 能 够 运行 在 OSI 模型 的 各 层 上 。 网 关 必 须 同 应 用 层 进 行 通信 ， 建 立 和 管 
理会 话 ， 传 输 已 经 编码 的 数据 ， 并 解析 逻辑 和 物理 地 址 数据 。 

网 关 可 以 设 在 服务 器 、 微 机 或 大 型 机 上 。 网 关 也 可 以 提供 过 滤 和 安全 功能 。 由 于 网 关 
有 具有 强大 的 功能 ， 而 且 大 多 数 时 候 都 与 应 用 层 有 关 ， 因 此 ， 网 关 比 路 由 器 价格 要 贵 一 些 。 
另外 ， 由 于 网 关 的 传输 更 复杂 ， 它 们 传输 数据 的 速度 要 比 网 桥 或 路 由 器 低 一 些 。 


1.6 计算 机 网 络 应 用 模式 


随 着 信息 时 代 的 到 来 ， 计 算 机 网 络 和 计算 机 应 用 得 到 了 很 大 的 发 展 。 特 别 是 NetWare 
和 Windows NT 的 兴起 ， 以 及 大 型 数据 库 系统 的 应 用 ， 开 辟 了 网 络 应 用 的 新 模式 。 本 节 将 
主要 介绍 典型 的 C/S 网 络 应 用 模式 ， 及 B/S 网 络 应 用 模式 。 


1.6.1 C/S 模式 


C/S 模式 (Client/Server)， 即 大 家 熟知 的 客户 机 /服务 器 模式 ， 具 体 如 图 1-14 所 示 。 它 是 
软件 系统 体系 结构 , 通过 它 ,可 以 充分 利用 两 端 硬件 环境 的 优势 , 将 任务 合理 地 分 配 到 Client 
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端 和 Server 端 来 实现 ， 降 低 了 系统 的 通信 开销 。 

目前 ， 大 多 数 应 用 软件 系统 都 是 Client/Server 形式 的 两 层 结构 ， 由 于 现在 的 软件 应 用 
系统 正 向 分 布 式 的 Web 应 用 发 展 ，Web 和 Client/Server 应 用 都 可 以 进行 同样 的 业务 处 理 ， 
应 用 不 同 的 模块 共享 逻辑 组 件 ， 因 此 ， 内 部 的 和 外 部 的 用 户 都 可 以 访问 新 的 和 现 有 的 应 用 
系统 ， 通 过 现 有 应 用 系统 中 的 逻辑 ， 可 以 扩展 出 新 的 应 用 系统 。 这 也 是 目前 应 用 系统 的 发 


展 方向 。 
和 服务 器 


yy 


客户 机 PA py 


1-14 C/S 模式 


C/S 模式 的 优点 是 能 充分 发 挥 客户 端 PC 的 处 理 能 力 ， 很 多 工作 可 以 在 客户 端 处 理 后 再 
提交 给 服务 器 。 

存在 着 以 上 优点 的 同时 ，C/S 模式 也 有 一 些 缺 点 ， 主 要 表现 在 以 下 两 个 方面 。 

(1) 一 般 只 适用 于 局 域 网 。 而 随 着 互联 网 的 飞速 发 展 ， 移 动 办 公 和 分 布 式 办 公 越 来 越 
普及 ， 这 就 需要 系统 具有 扩展 性 。 采 用 这 种 方式 进行 远程 访问 ， 需 要 专门 的 技术 ， 同 时 要 
对 系统 进行 专门 的 设计 ， 来 处 理 分 布 式 数据 。 

(2) 客户 端 需要 安装 专用 的 客户 端 软件 。 首 先 ， 涉 及 安装 的 工作 量 ; 其 次 ， 任 何 一 台 
计算 机 出 现 问 题 ， 如 病毒 、 硬 件 损坏 ， 都 需要 进行 安装 和 维护 ; 还 有 ， 在 系统 软件 进行 升 
级 时 ， 每 一 台 客 户 机 都 需要 重新 安装 ， 其 维护 和 升级 成 本 是 非常 高 的 。 


1.6.2 ”B/S 模式 


B/S 模式 (Browser/Server， 浏览 器 /服务 器 模式 ) 是 对 C/S 模式 的 一 种 改进 ， 是 Web 兴起 
后 的 一 种 网 络 结构 模式 , Web 浏览 器 是 客户 端 最 主要 的 应 用 软件 。 这 种 模式 统一 了 客户 端 ， 
将 系统 功能 实现 的 核心 部 分 集中 到 服务 器 上 ， 简 化 了 系统 的 开发 、 维 护 和 使 用 。 客 户 机 上 

只 须 安装 一 个 浏览 器 (Browser), 如 Netscape Navigator 或 Intermet Explorer, 服务 器 安装 Oracle、 
Sybase、Informix 或 SQL Server 等 数据 库 。 浏 览 器 通过 Web Server 同 数据 库 进行 数据 交互 。 
B/S 模式 如 图 1-15 所 示 。 

B/S 模式 最 大 的 优点 ， 就 是 可 以 在 任何 地 方 进行 操作 ， 而 不 用 安装 任何 专门 的 软件 ， 
只 要 有 一 台 能 上 网 的 电脑 就 能 使 用 ， 客 户 端 零 安 装 、 零 维护 。 系 统 的 扩展 非常 容易 。 

B/S 结构 的 使 用 越 来 越 多 ， 特 别 是 由 于 需求 推动 了 Ajax 技术 的 发 展 ， 它 的 程序 也 能 在 
客户 端 电脑 上 进行 部 分 处 理 ， 从 而 大 大 减轻 了 服务 器 的 负担 ， 并 增加 了 交互 性 ， 能 进行 局 
部 实时 刷新 。 

下 面 将 C/S 模式 与 B/S 模式 进行 比较 。 
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1-15 ”B/S 模式 


(1) 开发 和 维护 成 本 

C/S 开发 和 维护 成 本 较 高 。 对 不 同 客户 端 ， 需 要 开发 不 同 的 程序 ， 且 应 用 程序 的 安装 、 
修改 和 升级 均 需 要 在 所 有 的 客户 机 上 执行 。 而 对 于 B/S， 客 户 端 只 需要 有 通用 的 浏览 器 ， 
所 有 的 维护 与 升级 工作 都 是 在 服务 器 上 进行 ， 不 需要 对 客户 端 进行 任何 改变 ， 大 大 降低 了 
开发 和 维护 的 成 本 。 

(2) 客户 端 负载 

C/S 的 客户 端 具有 显示 与 处 理 数据 的 功能 ， 负 载重 ， 当 应 用 系统 的 功能 越 来 越 复杂 时 ， 
客户 端的 应 用 程序 也 会 变 得 越 来 越 庞大 。 而 B/S 的 客户 端 把 事务 处 理 逻 辑 部 分 给 了 功能 服 
务 器 ， 客 户 端 只 需要 显示 结果 ， 俗 称 “ 瘦 ”客户 机 。 

(3) 可 移植 性 

C/S 移植 困难 ， 不 同 开发 工具 开发 的 应 用 程序 ， 一 般 来 说 互 不 兼容 ， 难 以 移植 到 其 他 
平台 上 运行 。 而 对 于 B/S， 在 客户 端 安装 的 是 通用 浏览 器 ， 不 存在 移植 性 问题 。 

(4) 用 户 界 面 

C/S 的 用 户 界 面 由 客户 端 所 安装 的 软件 决定 ， 用 户 界 面 各 不 相同 ， 培 训 的 时 间 较 多 且 
费用 较 高 。 而 B/S 通过 通用 的 浏览 器 访问 应 用 程序 ， 浏 览 器 的 界面 统一 、 友 好 ， 使 用 时 类 
似 于 浏览 网 页 ， 从 而 可 将 培训 的 时 间 和 费用 大 大 降低 。 

(5) 安全 性 

C/S 适用 于 专人 使 用 的 系统 ， 可 以 通过 严格 地 管理 派发 软件 ， 满 足 对 安全 性 要 求 较 高 
的 专用 需求 。 而 B/S 适用 于 交互 性 要 求 较 多 ， 使 用 人 数 较 多 ， 对 安全 性 要 求 不 是 很 高 的 
应 用 环境 。 


本 章 小 结 


通过 本 章 的 学 习 ， 读 者 应 该 对 计算 机 网 络 的 概念 ， 以 及 局 域 网 、 城 域 网 和 广域网 的 各 
自 特 点 ， 有 一 个 全 新 的 认识 。 另 外 ， 读 者 还 应 掌握 计算 机 网 络 的 拓扑 结构 及 各 自 的 特点 。 
通过 对 网 络 体系 结构 的 学 习 ， 应 该 熟知 网 络 体系 结构 的 定义 及 分 层 原理 ， 了 解 OSI 模型 和 
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TCP/IP 体系 结构 ， 并 注意 二 者 的 区 别 与 联系 。 
除 此 之 外 ， 还 应 掌握 几 种 常见 网 络 互 连 设备 的 工作 原理 ， 如 交换 机 、 路 由 器 ;了 解 两 
种 典型 的 计算 机 网 络 应 用 模式 ， 即 C/S 模式 、B/S 模式 ， 及 各 自 的 优 缺 点 。 


1. 什么 是 计算 机 网 络 ? 网 络 的 主要 功能 是 什么 ? 

2. 翻阅 相关 资料 ， 解 释 IPv4 和 IPv6 的 主要 区 别 。 

3. 使 用 网 络 管理 工具 ， 可 帮助 读者 熟悉 自己 的 计算 机 系统 。Windows 操作 系统 常用 的 
网 络 管理 工具 包括 ipconfig、ping、netstat、tracert 和 nslookup 等 。 在 一 台 运 行 Windows 操 
作 系统 的 主机 上 打开 cmd 窗口 ， 然 后 分 别 执行 以 下 5 条 指令 并 解释 所 得 结果 : 

ipconfig/all 


ping www.hainu.edu.cn 

neststat -e 

tracert www.hainu.edu.cn 

nslookup www.hainu.edu.cn 

4. TCP/IP 协议 主要 包括 哪 几 层 ?各 层 的 功能 是 什么 ?各 层 主要 有 哪 几 种 协议 ? 
5. C/S 模式 和 B/S 模式 有 什么 不 同 ? 各 适用 于 什么 场合 ? 
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第 2 章 网 络 安全 基础 


随 着 网 络 威胁 的 增加 ， 人 们 逐渐 建立 了 网 络 安全 研究 的 相关 技术 和 理论 ， 提 出 了 网 络 
安全 的 模型 、 体 系 结构 和 目标 等 。 本 章 从 各 个 方面 详细 介绍 有 关 网 络 安全 的 基础 知识 。 


2.1 网 络 安全 概述 


网 络 安全 ， 从 其 本 质 上 来 讲 ， 就 是 网 络 上 的 信息 安全 ， 它 涉及 的 领域 相当 广泛 ， 这 是 
因为 ， 在 目前 的 公用 通信 网 络 中 ， 存 在 着 各 种 各 样 的 安全 漏洞 和 威胁 。 凡 是 涉及 网 络 的 信 
息 的 保密 性 、 完 整 性 、 可 用 性 、 真 实 性 和 可 控 性 的 相关 技术 和 理论 ， 都 是 网 络 安全 所 要 研 
究 的 领域 。 

严格 地 说 ， 网 络 安全 是 指 网 络 系统 的 硬件 、 软 件 及 系统 中 的 数据 受到 保护 ， 不 受 偶然 
或 者 恶意 的 原因 而 遭 到 破坏 、 更 改 、 泄 露 ， 系 统 能 连续 、 可 靠 、 正 常 地 运行 ， 网 络 服务 不 
中 断 。 这 包括 以 下 儿 个 方面 : 

网 络 运行 系统 安全 ， 即 保证 信息 处 理 和 传输 系统 的 安全 。 
网 络 上 系统 信息 的 安全 。 

网 络 上 信息 传播 的 安全 ， 即 信息 传播 后 的 安全 。 

网 络 上 信息 内 容 的 安全 ， 即 狭义 的 “信息 安全 ”。 

计算 机 网 络 安全 的 主要 内 容 不 仅 包括 硬件 设备 、 管 理 控制 网 络 的 软件 方面 ， 同 时 也 包 
括 共享 的 资源 、 快 捷 的 网 络 服务 等 方面 。 具 体 来 讲 ， 包 括 如 下 内 容 。 


1. 网 络 实体 安全 


计算 机 机 房 的 物理 条 件 、 物 理 环 境 及 设施 的 安全 ， 计 算 机 硬件 、 附 属 设备 及 网 络 传输 
线路 的 安装 及 配置 等 。 


2. 软件 安全 


保护 网 络 系统 不 被 非法 入 侵 ， 系 统 与 应 用 软件 不 被 非法 复制 、 算 改 、 不 受 病毒 的 侵 
害 等 。 


3. 数据 安全 

保护 数据 不 被 非法 存 取 ， 确 保 其 完整 性 、 一 臻 性、 机密 性 等 。 

4. 安全 管理 

在 运行 期 间 对 突 发 事件 的 安全 处 理 ， 包 括 采 取 计算 机 安全 技术 、 建 立 安全 管理 制度 、 
开展 安全 审计 、 进 行 风险 分 析 等 内 容 。 

5 数据 保密 性 


数据 保密 性 是 指 信息 不 泄露 给 非 授权 的 用 户 、 实 体 或 过 程 ， 或 供 其 利用 的 特性 。 在 网 
络 系统 的 各 个 层次 上 ， 有 不 同 的 机 密 性 及 相应 的 防范 措施 。 例 如 ， 在 物理 层 ， 要 保证 系统 
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实体 不 以 电磁 波 的 方式 向 外 泄露 信息 ， 在 数据 处 理 、 传 输 层面 ， 要 保证 数据 在 传输 、 存 储 
过 程 中 不 被 非法 获取 、 解 析 ， 主 要 的 防范 措施 是 采用 密码 技术 。 


6.， 数据 的 完整 性 


数据 完整 性 ' 指 数据 在 未 经 授权 时 不 能 改变 其 特性 , 即 信息 在 存储 或 传输 过 程 中 保持 不 
被 修改 、 不 被 破坏 和 丢失 的 特性 ， 完 整 性 要 求 保持 信息 的 原样 ， 即 要 保证 信息 的 正确 生成 、 
正确 存储 和 正确 传输 。 影 响 网 络 信息 完整 性 的 主要 因素 包括 设备 故障 ， 传 输 、 处 理 或 存储 
过 程 中 产生 的 误 码 ， 网 络 攻击 ， 计 算 机 病毒 等 ， 其 主要 防范 措施 是 校 验 与 认证 技术 。 


7. 可 用 性 


网 络 信息 系统 最 基本 的 功能 是 向 用 户 提供 服务 ， 而 用 户 所 要 求 的 服务 是 多 层次 的 、 随 
机 的 。 可 用 性 是 指 可 被 授权 实体 访问 ， 并 按 需 求 使 用 的 特性 ， 即 当 需 要 时 ， 应 能 存 取 所 需 
的 信息 。 网 络 环境 下 的 拒绝 服务 、 破 坏 网 络 和 有 关系 统 的 正常 运行 等 ， 都 属于 针对 可 用 性 
的 攻击 。 


8， 可 控 性 


可 控 性 指 对 信息 的 传播 及 内 容 具 有 控制 能 力 ， 保 障 系统 依据 授权 提供 服务 ， 使 系统 在 
任何 时 候 不 被 非 授 权 用 户 使 用 ， 对 黑客 入 侵 、 口 令 攻击 、 用 户 权限 非法 提升 、 资 源 非法 使 
用 等 采取 防范 措施 。 

9.， 可 审查 性 

提供 历史 事件 的 记录 ， 对 出 现 的 网 络 安全 问题 提供 调查 的 依据 和 手段 。 


2.2 网络 安全 模型 


随 着 信息 化 社会 的 网 络 化 发 展 ， 各 国 的 政治 、 外 交 、 国 防 等 领域 越 来 越 依赖 于 计算 机 
网 络 ， 因 此 ， 计 算 机 网 络 安全 的 地 位 日 趋 重 要 。 

从 宏观 上 讲 ， 目 前 国家 、 政 府 部 门 正 在 不 断 制 定 和 完善 网 络 安全 的 法 律 、 网 络 安全 标 
准 等 ;而 从 具体 角度 讲 ， 针 对 企业 、 集 团 、 高 校 等 网 络 用 户 而 言 ， 拥 有 经 济 合理 的 网 络 安 
全 设备 是 保障 网 络 安全 的 硬件 技术 ， 能 够 协调 进行 有 效 的 安全 管理 工作 是 保障 网 络 长 期 安 
全 、 相 对 稳定 运作 的 动力 。 两 者 所 围绕 的 核心 问题 是 ， 针 对 要 预防 的 主要 网 络 攻击 手段 及 
当前 运作 实体 的 经 济 技术 能 力 ， 建 立 一 个 可 实施 的 、 合 理 的 、 长 期 有 效 的 网 络 安全 模型 。 
围绕 安全 模型 的 设计 与 实施 ， 将 相关 的 网 络 安全 技术 与 安全 机 制 方面 的 工作 有 机 结合 
起 来 ， 才 能 够 有 效 地 保证 网 络 安全 。 所 以 ， 建 立 合 理 有 效 的 网 络 安全 模型 ， 无 论 是 对 硬件 
设备 的 选择 ， 还 是 对 后 期 网 络 安全 管理 工作 的 开展 ， 都 是 一 个 关键 的 技术 问题 。 从 而 也 决 
定 了 它 在 实现 网 络 安全 方面 不 可 忽视 的 重要 性 。 网 络 安全 能 否 有 效 地 担任 其 职责 ， 这 对 网 
络 技术 的 发 展 、 网 络 时 代 信息 秩序 的 维护 ， 以 及 企业 和 单位 用 户 的 网 络 正常 运行 ， 都 是 
至 关 重 要 的 。 


1 完整 性 与 保密 性 不 同 , 保密 性 要 求 信息 不 被 泄露 给 未 授权 用 户 , 而 完整 性 则 要 求 信息 不 会 由 于 各 种 
原因 而 遭 到 破坏 。 


目前 ， 在 网 络 安全 领域 ， 存 在 较 多 的 网 络 安全 模型 。 这 些 安全 模型 都 较 好 地 描述 了 网 
机 | 络 安全 的 部 分 特征 , 又 都 有 各 自 的 侧重 点 , 在 各 自 不 同 的 专业 领域 都 有 着 一 定 程度 的 应 用 。 


网 
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在 网 络 信息 传输 中 ， 为 了 保证 信息 传输 的 安全 性 ， 通 常 需要 一 个 值得 信任 的 第 三 方 来 
础 | 负责 在 源 节点 和 目的 节点 间 进 行 秘密 信息 分 发 ， 同 时 ， 当 双方 发 生 争执 时 ， 能 起 到 仲裁 的 
作用 。 

在 基本 模型 中 ， 通 信 的 双方 在 进行 信息 传输 前 ， 首 先 建立 起 一 条 逻辑 通道 ， 并 提供 安 
全 的 机 制 和 服务 ， 来 实现 在 开放 网 络 环境 中 信息 的 安全 传输 ， 图 2-1 为 基本 安全 模型 的 
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示意 图 。 


2-1 基本 安全 模型 


信息 的 安全 传输 主要 包括 以 下 两 点 : 

@ ”从 源 节 点 发 出 的 信息 ， 使 用 信息 加 密 等 加 密 技术 对 其 进行 安全 的 转发 ， 从 而 实现 
该 信息 的 保密 性 ， 同 时 也 可 以 在 该 信息 中 附加 一 些 特征 信息 ， 作 为 源 节点 的 身份 
验证 。 

@ ” 源 节点 与 目的 节点 应 该 共享 如 加 密 密 钥 这 样 的 保密 信息 ， 这 些 信息 除了 发 送 双 方 
和 可 信任 的 第 三 方 之 外 ， 对 其 他 用 户 都 是 保密 的 。 

近年 来 ， 我 国 863 信息 安全 专家 组 博采众长 ， 推 出 了 WPDRRC 模型 ， 具 体 如 图 2-2 

所 示 。 
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2-2 WPDRRC 模型 
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该 模型 全 面 涵盖 了 各 种 安全 因素 ， 突 出 了 人 员 、 策 略 、 管 理 的 重要 性 ， 反 映 了 各 个 安 
全 组 件 之 间 的 内 在 联系 。 其 中 人 是 核心 ， 策 略 (包括 法 律 、 法 规 、 制 度 、 管 理 ) 起 到 桥梁 的 
作用 ， 而 技术 则 落实 在 WPDRRC 6 个 环节 的 各 个 方面 。 

(1) 预警 (Warning): 采用 多 检测 点 数据 收集 和 智能 化 的 数据 分 析 方法 ,检测 是 否 存在 
某 种 恶意 的 攻击 行为 ， 并 评测 攻击 的 威胁 程度 、 攻 击 的 本 质 、 范 围 和 起 源 ， 同 时 ， 预 测 敌 
方 可 能 的 行动 。 

(2) 保护 (Protecb: 采用 一 系列 的 手段 (识别 、 认 证 、 授 权 、 访 问 控制 、 数 据 加 密 ) 保 障 
数据 的 保密 性 、 完 整 性 、 可 用 性 和 不 可 否认 性 等 。 

(3) 检测 (Detecb: 利用 高 级 技术 提供 的 工具 ,检查 系统 存在 的 可 能 造成 黑客 攻击 、 
领 犯罪 、 病 毒 泛滥 的 脆弱 性 ， 即 进行 系统 脆弱 性 检测 、 入 侵 检 测 、 病 毒 检测 。 

(4) 响应 (Respond): 对 危及 安全 的 事件 、 行 为 、 过 程 及 时 做 出 响应 处 理 ， 杜 绝 危 害 的 
进一步 草 延 和 扩大 ， 使 系统 能 提供 正常 服务 ， 包 括 审计 跟踪 、 事 件 报警 、 事 件 处 理 。 

(5) 恢复 (Restore): 一 旦 系统 遭 到 破坏 ， 将 采取 一 系列 的 措施 ， 如 文件 的 备份 、 数 据 
库 的 自动 恢复 ， 尽 快 恢复 系统 功能 ， 提 供 正 常服 务 。 

(6) 反击 (Counterattack): 利用 高 技术 工具 ， 取 得 证 据 ， 作 为 犯罪 分 子 犯罪 的 线索 、 
犯罪 依据 ， 依 法 侦查 和 处 置 犯罪 分 子 。 


2.3 网 络 安全 攻防 技术 
“ 道 高 一 尺 ， 魔 高 一 丈 ”， 这 是 网 络 安全 攻击 与 防御 的 最 好 写照 。 有 矛 就 有 盾 ， 也 是 


相互 对 立 的 两 个 方面 。 而 在 网 络 安 全 中 ，“ 攻 和 防 ” 与 “ 矛 和 盾 ” 非 常 相似 。 
网 络 安全 的 攻防 体系 结构 由 网 络 安全 物理 基础 、 网 络 安全 的 实施 及 攻击 和 防御 技术 三 


大 方面 构成 ， 如 图 2-3 所 示 。 


目 


二 


二 防御 技术 : 
人 操作 系统 安全 部 置 技术 
网 络 扫 措 
加 密 技术 
防火 墙 技术 
网 络 后 与 网 络 隐患 入 二 人 
网 络 安全 的 实施 
工具 软件 : Sniffsr 、X-Scan、 防火墙 软件 、 入 侵 检测 软件 、 加 密 软件 等 
编程 语言 : C、C+-+ 等 
网 络 安全 物理 基础 
操作 系统 : Unix 、Linux 、Windows 
网 络 协议 : TCP、 下、UDP、DNS、FIP、HTIP 等 


2-3 网络 安 全 攻防 体系 结构 
(1) 对 于 用 户 来 讲 ， 如 果 不 知道 如 何 攻 击 ， 那么 再 好 的 防守 也 是 经 不 住 考验 的 。 目 前 ， 


A 


ee 


PF 


常用 的 攻击 技术 主要 包括 以 下 5 个 方面 。 

Q@ 网 络 监听 

自己 不 主动 去 攻击 别人 ， 在 计算 机 上 设置 一 个 程序 去 监听 目标 计算 机 与 其 他 计算 机 通 
信 的 数据 。 

@ 网 络 扫描 

利用 程序 去 扫描 目标 计算 机 开放 的 端口 等 , 目的 是 发 现 漏洞 , 为 入 侵 该 计算 机 做 准备 。 

@ 网 络 入 侵 

当 探测 发 现 对 方 计算 机 存在 漏洞 以 后 ， 入 侵 到 目标 计算 机 以 获取 信息 。 

四 ”网络 后 门 

成 功 入 侵 目标 计算 机 后 ， 为 了 对 “战利品 ”进行 长 期 控制 ， 在 目标 计算 机 中 种 植木 马 等 。 

@@ 网 络 隐身 

入 侵 完 毕 并 退出 目标 计算 机 后 ， 将 自己 入 侵 该 计算 机 的 痕迹 清除 掉 ， 从 而 防止 被 对 方 
管理 员 发 现 。 

(2) 对 于 防御 技术 ， 通 常 包括 以 下 4 个 方面 。 

Q@ 操作 系统 的 安全 配置 

操作 系统 的 安全 是 整个 网 络 安全 的 关键 。 

@ ”加 密 技术 

为 了 防止 被 他 人 (非法 分 子 ) 监 听 和 盗 取 数 据 ， 通 过 加 密 技术 ， 将 所 有 的 数据 进行 加 密 。 
一 些 典 型 的 加 密 算法 将 会 在 第 9 章 “ 密 码 学 ”中 详细 介绍 。 

@ 防火 墙 技 术 

利用 防火 墙 ， 对 传输 的 数据 进行 限制 ， 从 而 防止 系统 被 入 侵 或 者 是 减 小 被 入 侵 的 成 功 
率 。 第 11 章 将 会 对 其 进行 更 充分 的 介绍 。 

@ 入 侵 检 测 

如 果 网 络 防线 最 终 被 攻破 了 ,需要 及 时 发 出 被 入 侵 的 警报 ,以 便 做 出 更 为 及 时 的 响应 ， 
最 大 程度 地 减少 损失 。 更 为 详细 的 内 容 可 参照 本 书 第 12 章 。 

另外 ， 为 了 保证 网 络 的 安全 ， 用 户 在 软件 方面 ， 可 以 选择 在 技术 上 已 经 成 熟 的 安全 辅 
助 工具 ， 如 抓 数据 包 软件 Sniffer， 网 络 扫描 工具 X-Scan 等 。 另外， 如 果 用 户 具有 较 高 的 编 
程 能 力 ， 还 可 以 选择 自己 编写 程序 。 目 前 ， 有 关 网 络 安全 编程 ， 常 用 的 计算 机 语言 有 C、 
C++ 或 者 Perl 等 。 
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2.4 ”网 络 层次 体系 结构 


从 层次 体系 结构 上， 通常 将 网 络 安全 划分 成 物理 安全 、 罗 辑 安全 、 操 作 系 统 安全 和 联 
网 安全 4 个 层次 。 
2.4.1 物理 安全 


物理 是 指 计算 机 硬件 、 网 络 硬件 设备 等 。 而 物理 安全 是 指 整个 计算 机 硬件 、 网 络 设备 
和 传输 介质 等 一 些 实物 的 安全 。 通 常 ， 物 理 安全 包括 如 下 5 个 方面 。 
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1. 防盗 

与 其 他 的 物体 一 样 ， 物 理 设备 (如 计算 机 ) 也 是 偷窃 者 的 目标 之 一 ， 如 盗 走 硬盘 、 主 板 
等 。 计 算 机 偷窃 行为 所 造成 的 损失 可 能 远 远 超过 计算 机 本 身 的 价值 ， 因 此 ， 必 须 采取 严格 
的 防范 措施 ， 以 确保 计算 机 设备 不 会 丢失 。 

2.， 防火 


计算 机 机 房 发 生火 灾 一 般 是 由 于 电气 原因 、 人 为 事故 ?或 外 部 火灾 蔓延 引起 的 。 

电气 设备 和 线路 因为 短路 、 过 载 、 接 触 不 良 、 绝 缘 层 破坏 或 静电 等 原因 ， 会 引起 电 打 
火 ， 而 导致 火灾 。 

3. 防 静 电 


静电 是 由 物体 间 的 相互 摩擦 、 接 触 而 产生 的 ， 计 算 机 显示 器 也 会 产生 很 强 的 静电 。 静 
电 产 生 后 ， 由 于 未 能 释放 而 保留 在 物体 内 ， 会 有 很 高 的 电位 (能 量 不 大 )， 从 而 产生 静电 放 
电 火 花 ， 造 成 火灾 。 还 可 能 使 大 规模 集成 电路 损坏 ， 这 种 损坏 可 能 是 不 知 不 觉 造 成 的 。 


4. 防 雷击 


利用 传统 的 避雷 针 防 雷 ， 不 但 会 增加 雷击 概率 ， 还 会 产生 感应 雷 ， 而 感应 雷 是 电子 信 
息 设备 被 损坏 的 主要 原因 之 一 ， 也 是 易 燃 易 爆 品 被 引 燃 、 引 爆 的 主要 原因 。 

目前 ， 对 于 雷击 的 主要 防范 措施 ， 是 根据 电气 、 微 电子 设备 的 不 同 功能 及 不 同 受 保护 
程度 和 所 属 保护 层 来 确定 防护 要 点 ， 做 分 类 保护 ;根据 雷电 和 操作 瞬间 过 电压 危害 的 可 能 
通道 ， 从 电源 线 到 数据 通信 线路 ， 都 应 做 多 层 保护 。 


5. 防 电磁 泄露 


与 其 他 电子 设备 一 样 ， 计 算 机 在 工作 时 也 要 产生 电磁 发 射 。 电 磁 发 射 包括 辐射 发 射 和 
传导 发 射 两 种 类 型 。 而 这 两 种 电磁 发 射 可 被 高 灵敏 度 的 接收 设备 接收 并 进行 分 析 、 还 原 ， 
从 而 会 造成 计算 机 中 信息 的 泄露 。 

目前 ， 屏 蔽 是 防 电磁 泄露 的 有 效 措施 ， 屏 蔽 方式 主要 包括 电 屏 蔽 、 磁 屏蔽 和 电磁 屏蔽 
三 种 类 型 。 


2.4.2 ”逻辑 安全 


计算 机 的 逻辑 安全 需要 用 口令 、 文 件 许可 等 方法 来 实现 。 例 如 ， 可 以 限制 用 户 登录 的 
次 数 或 对 试探 操作 加 上 时 间 限 制 ， 可 以 用 软件 来 保护 存储 在 计算 机 文件 中 的 信息 。 

限制 存 取 的 另 一 种 方式 是 通过 硬件 完成 的 , 在 接收 到 存 取 要 求 后 , 先 询 问 并 校 核 口令 ， 
然后 访问 位 于 目录 中 的 授权 用 户 标志 号 。 

另外 ， 有 一 些 安全 软件 包 也 可 以 跟踪 可 疑 的 、 未 授权 的 存 取 企图 ， 例 如 ， 多 次 登录 或 
请 求 别人 的 文件 。 


2 人 为 事故 是 指 由 于 操作 人 员 不 慎 ， 如 吸烟 、 乱 扔 烟头 等 ， 使 存在 易 燃 物质 (如 纸 片 、 磁 带 、 胶 片 等 ) 
的 机 房 起 火 。 当 然 ， 也 不 排除 人 为 故意 放火 。 


机 | 2.4.3 ”操作 系统 安全 


网 

络 | 。 操作 系统 是 计算 机 中 最 基本 、 最 重要 的 软件 。 而 且 在 同一 台 计 算 机 中 ， 可 以 安装 几 种 
侣 不 同 的 操作 系统 。 例 如 ， 一 台 计算 机 中 可 以 安装 Windows 7 和 Windows XP 两 种 系统 ， 从 
基 而 构成 双 系 统 。 

是 


如 果 计 算 机 系统 可 提供 给 许多 人 使 用 ， 操 作 系统 必须 能 区 分 用 户 ， 以 避免 用 户 间 相 互 
F 扰 。 一 些 安全 性 较 高 、 功 能 较 强 的 操作 系统 (如 Windows Server 2008) 可 以 为 计算 机 的 每 
一 位 用 户 分 配 账户 。 通 常 ， 一 个 用 户 一 个 账户 。 操 作 系 统 不 允许 一 个 用 户 修改 由 另 一 个 账 
户 创建 的 数据 。 


2.4.4 联网 安全 


联网 安全 是 指 用 户 使 用 计算 机 与 其 他 计算 机 通信 的 安全 ， 通 常 由 以 下 两 个 方面 的 安全 
服务 来 实现 。 


1.， 访问 控制 服务 
用 来 保护 计算 机 和 联网 资源 不 被 非 授权 使 用 。 
2. 通信 安全 服务 


用 来 认证 数据 机 要 性 与 完整 性 ， 以 及 各 通信 的 可 信赖 性 。 


2.5 ”网络 安全 管理 


随 着 网 络 技术 的 快速 发 展 ， 与 其 相关 的 领域 也 发 生 了 巨大 的 变化 ， 一 方面 ， 硬 件 平台 、 
操作 系统 、 应 用 软件 变 得 越 来 越 复 杂 和 难以 实行 统一 管理 ， 男 一 方面 ， 现 代 社 会 生活 对 网 
络 的 依赖 程度 逐渐 加 大 。 因 此 ， 如 何 合理 地 管理 网 络 变 得 至 关 重 要 。 

网 络 管理 包括 监督 、 组 织 和 控制 网 络 通信 服务 ， 及 进行 信息 处 理 所 必 需 的 各 种 技术 手 
段 和 措施 。 网 络 管理 是 为 了 确保 计算 机 网 络 系统 的 正常 运行 ， 并 在 其 出 现 故障 时 能 及 时 响 
应 和 处 理 。 

一 般 来 讲 ， 网 络 管理 的 功能 包括 配置 管理 、 性 能 管理 、 安 全 管理 和 故障 管理 4 个 方面 。 
由 于 网 络 安全 对 整个 网 络 的 性 能 及 管理 有 着 很 大 的 影响 ， 因 此 ， 已 经 逐渐 成 为 网 络 管理 技 
术 中 的 一 个 重要 的 组 成 部 分 。 

网 络 管理 主要 偏向 于 对 网 络 设备 的 运行 状况 、 网 络 拓扑 、 信 元 (CelD) 等 的 管理 ， 而 网 络 
安全 管理 则 偏向 于 网 络 安全 要 素 的 管理 。 其 中 ， 网 络 安全 管理 主要 包括 安全 配置 、 安 全 策 
略 、 安 全 事件 和 安全 事故 4 个 要 素 内 容 。 


1. 安全 配置 


安全 配置 是 指 对 网 络 系统 中 的 各 种 安全 设备 、 系 统 的 各 种 安全 规则 、 选 项 和 策略 的 配 
置 。 它 不 仅 包括 防火 墙 系 统 、 入 侵 检测 系统 、 虚 拟 专用 网 (VPN) 等 安全 设备 方面 的 安全 规 
则 、 选 项 和 配置 ,而 且 包括 各 种 操作 系统 、 数 据 库 系 统 等 系统 配置 的 安全 设置 和 优化 措施 。 
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安全 配置 能 否 很 好 地 实现 ， 将 直接 关系 到 安全 系统 发 挥 作用 的 能 力 。 若 配置 得 好 ， 就 
能 够 充分 发 挥 安全 系统 和 设备 的 安全 作用 ， 实 现 安全 策略 的 具体 要 求 ， 若 配置 得 不 好 ， 不 
仅 不 能 发 挥 安全 系统 和 设备 的 安全 作用 ， 还 可 能 起 到 副作用 ， 如 出 现 网络 阻 塞 ， 网 络 运行 
速度 下 降 等 情况 。 

安全 配置 必须 得 到 严格 的 管理 和 控制 ， 不 能 被 他 人 随意 更 改 。 同 时 ， 安 全 配置 必须 备 
案 存 档 ， 做 到 定期 更 新 和 复查 ， 以 确保 能 够 反映 安全 策略 的 需要 。 


2. 安全 策略 


安全 策略 是 由 管理 员 制 定 的 活动 策略 ， 基 于 代码 所 请 求 的 权限 为 所 有 托管 代码 以 编程 
方式 生成 授予 的 权限 。 对 于 要 求 的 权限 比 策略 允许 的 权限 还 要 多 的 代码 ， 将 不 允许 其 运行 。 
前 面 提 到 的 安全 配置 正 是 对 安全 策略 的 微观 实现 ， 合 理 的 安全 策略 又 能 降低 安全 事件 的 出 
现 概 率 。 安 全 策略 的 设施 包括 如 下 三 个 原则 。 

(1) 最 小 特权 原则 : 指 主体 在 执行 操作 时 ， 将 按照 其 所 需 权利 的 最 小 化 原则 分 配 权利 
的 方法 。 

(2) 最 小 泄露 原则 : 指 主体 执行 任务 时 ， 按 照 主 体 所 需要 知道 的 信息 最 小 化 的 原则 分 
配给 主体 权利 。 

(3) 多 级 安全 策略 : 指 主体 与 客体 之 间 的 数据 流向 和 权限 控制 按照 安全 级 别 ， 即 绝密 
(TS)、 秘 密 (S)、 机 密 (C)、 限 制 RS) 和 无 级 别 (U) 这 5 个 等 级 来 划分 。 


3. 安全 事件 


事件 是 指 那些 影响 计算 机 系统 和 网 络 安全 ?的 不 正当 行为 。 它 包括 在 计算 机 和 网 络 上 发 
生 的 任何 可 以 观察 到 的 现象 以 及 用 户 通过 网 络 进入 到 另 一 个 系统 以 获取 文件 关闭 系统 等 。 

恶意 事件 是 指 攻击 者 对 网 络 系统 的 破坏 ， 如 在 未 经 授权 的 情况 下 使 用 合法 用 户 的 账户 
登录 系统 或 提高 使 用 权限 、 恶 意 算 改 文件 内 容 、 传 播 恶意 代码 、 破 坏 他 人 数据 等 。 

安全 事件 是 指 那些 遵守 安全 策略 要 求 的 行为 。 它 包括 各 种 安全 系统 和 设备 的 日 志 及 事 
件 、 网 络 设备 的 日 志和 事件 、 操 作 系统 的 日 志和 事件 、 数 据 库 系统 的 日 志和 事件 、 应 用 系 
统 的 日 志和 事件 等 方面 的 内 容 。 另 外 ， 它 能 够 直接 反映 网 络 、 操 作 系统 、 应 用 系统 的 安全 
现状 和 发 展 趋势 ， 是 网 络 系统 安全 状况 的 直接 体现 。 

由 于 安全 事件 数量 多 、 分 布 不 均 及 技术 分 析 较 复杂 ， 导 致 其 难以 管理 。 在 实际 工作 中 ， 
不 同 的 系统 又 由 不 同 的 管理 员 进 行 管理 ， 面 对 大 量 的 日 志和 安全 事件 ， 系 统管 理 员 根本 没 
有 时 间 和 精力 对 其 进行 察看 和 分 析 ， 致 使 安全 系统 和 设备 的 安装 可 能 形同虚设 ， 没 有 发 挥 
其 应 有 的 作用 。 所 以 ， 安 全 事件 是 网 络 安全 管理 的 重点 和 关键 。 


4. 安全 事故 
安全 事故 是 指 能 够 造成 一 定 影响 和 损失 的 安全 事件 ， 它 是 真正 的 安全 事件 。 一 旦 出 现 


3 计算 机 系统 和 网 络 的 安全 从 小 的 方面 说 ， 是 计算 机 系统 和 网 络 上 数据 与 信息 的 保密 性 、 完 整 性 以 及 
信息 /应 用 /服务 和 网 络 等 资源 的 可 用 性 ;从 大 的 方面 来 说 ， 越 来 越 多 的 安全 事件 随 着 网 络 的 发 展 而 出 现 ， 
比如 电子 商务 中 抵赖 、 网 络 扫描 、 骚 扰 行 为 、 敲 诈 、 传 播 色情 内 容 、 有 组 织 的 犯罪 活动 、 欺 诈 、 遇 和 弄 ， 以 
及 所 有 不 在 预料 之 内 的 对 系统 和 网 络 的 使 用 和 访问 ， 均 有 可 能 导致 违反 既定 安全 策略 。 


a 
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安全 事故 ， 网 络 安全 管理 员 就 必须 采取 相应 的 处 理 措施 和 行动 ， 来 阻止 和 减 小 事故 所 带 来 
的 影响 和 损失 。 

在 出 现 安全 事故 时 ， 管 理 员 必须 及 时 找 出 发 生 事故 的 源头 、 始 作 俑 者 及 其 动机 ， 并 准 
确 、 迅 速 地 对 其 进行 处 理 。 另 外 ， 必 须要 有 信息 资产 库 和 强大 的 知识 库 来 支持 ， 以 保证 能 
够 准确 地 了 解 事故 现场 系统 或 设备 的 状况 和 处 理事 故 所 需 的 技术 、 方 法 和 手段 。 


2.6 安全 目标 


网 络 信息 安全 的 目标 ， 是 保护 网 络 信息 系统 ， 使 其 减少 危险 、 不 受 威胁 、 不 出 事故 。 
从 技术 角度 来 说 ， 主 要 表现 在 系统 的 可 靠 性 、 保 密 性 、 完 整 性 、 认 证 、 可 用 性 以 及 不 可 抵 
赖 性 等 方面 。 

现在 计算 机 网 络 安全 的 目标 是 : 均衡 考虑 安全 和 通信 方便 性 。 显 然 ， 要 求 计算 机 系统 
越 安全 ， 对 通信 的 限制 和 使 用 的 难度 就 越 大 。 而 现代 信息 技术 的 发 展 又 使 通信 成 为 不 可 缺 
少 的 内 容 ， 它 包括 跨 组 织 、 跨 学 科 、 跨 地 区 以 及 全 球 的 通信 。 

一 般 来 说 ， 公 司 或 其 他 经 营 单位 的 安全 措施 应 包括 如 下 三 个 主要 目标 : 

@ ”对 数据 存 取 的 控制 。 

@ 保持 系统 及 数据 的 完整 性 。 

ee 能够 对 系统 进行 恢复 和 对 数据 进行 备份 (在 系统 发 生 故 障 时 )。 

换 名 话说， 一 种 安全 的 信息 技术 系统 要 对 用 户 的 访问 权限 了 予以 限制 ， 同 时 避免 应 用 软 
件 或 数据 的 破坏 。 

更 重要 的 是 ， 当 系统 失灵 时 ， 能 够 重新 启动 系统 ， 并 保存 重要 数据 的 备份 。 

计算 机 安全 的 重要 性 是 毫 无 疑问 的 。 但 是 ， 计 算 机 的 安全 程度 应 与 所 涉及 的 信息 的 价 
值 相 适应 。 应 当 有 一 个 从 低 、 中 到 高 级 的 多 层次 的 安全 系统 ， 分 别 对 不 同 重要 性 的 信息 资 
料 给 予 不 同 级 别 的 保护 。 


1. 维护 隐私 


拥有 存储 个 人 和 财务 信息 数据 库 的 公司 、 医 院 和 其 他 机 构 都 需要 维护 隐私 ， 这 不 仅 是 
为 了 保护 客户 的 利益 ， 而 且 也 是 为 了 维护 自己 公司 的 利益 和 可 信任 性 。 

要 维护 存储 在 一 个 单位 或 公司 网 络 上 的 信息 的 隐私 ， 最 重要 和 最 有 效 的 方法 之 一 ， 就 
是 向 员工 讲授 安全 风险 和 策略 。 这 种 增强 自我 安全 意识 的 教育 是 十 分 必要 的 。 毕 竟 有 个 别 
员工 很 可 能 会 由 于 自己 粗心 的 行为 而 无 意 中 造 成 安全 隐患 。 

2. 保持 数据 的 完整 性 


通常 ， 入 侵 者 或 破坏 者 会 将 虚假 信息 输入 Intemet 或 者 在 使 用 TCP/IP 协议 的 网 络 上 传 
输 虚 假 的 数据 包 。 黑 客 能 够 使 电子 邮件 看 起 来 就 像 是 来 自 正在 接收 它们 的 人 ， 或 者 来 自 于 
一 家 受信 任 的 公司 。 

当 破坏 性 或 伪造 的 数据 包 到 达 网 络 的 外 围 时 ， 防 火 墙 、 杀 毒 软 件 和 入 侵 检 测 系统 0DS) 
都 可 以 阻挡 它们 。 但 是 ， 确 保 网 络 安全 的 一 种 更 加 有 效 的 方法 ， 是 在 网 络 的 关键 位 置 采取 
措施 ， 使 网 络 通信 免 受 旨 窃 或 伪造 ， 从 而 保持 通信 的 完整 性 。 
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利用 在 Intemet 上 使 用 的 多 种 加 密 方法 中 的 任意 一 种 ,都 可 以 保持 数据 的 完整 性 .目前 ， 
最 流行 的 方法 之 一 ， 是 使 用 公 钥 加 密 技术 ， 它 使 用 一 种 称 为 密 钥 的 长 代码 块 加 密 通信 。 网 
络 上 的 每 个 用 户 都 可 以 获得 一 个 或 多 个 密 钥 ， 它 们 是 由 称 为 算法 的 复杂 公式 生成 的 。 

3. ”验证 用 户 


21 世纪 网 络 安全 最 基础 和 最 重要 的 方面 之 一 , 就 是 从 防御 网 络 (重点 放 在 防御 措施 和 限 
制 访问 的 网 络 ) 转 变 到 信任 网 络 (允许 那些 身份 通过 可 靠 验证 的 信任 用 户 访问 的 网 络 )。 

为 此 ， 可 以 设置 防火 墙 ， 这 样 ， 就 可 以 迫使 用 户 在 访问 联网 服务 器 时 必须 输入 用 户 名 
和 口令 。 通 过 匹配 用 户 名 和 口令 或 者 其 他 方法 ， 来 确定 授权 用 户 身 份 的 过 程 ， 称 为 身份 验 
证 。 有 时 ， 可 以 对 代理 服务 器 (为 用 户 提供 Web 浏览 、 电 子 邮件 和 其 他 服务 的 程序 ， 以 便 
对 网 络 之 外 的 用 户 隐藏 他 们 的 身份 ) 进 行 设置 ， 这 样 ， 当 用 户 利用 Web 上 网 冲浪 或 使 用 其 
他 基于 Intemet 的 服务 前 ， 代 理 服 务 器 将 要 求 进行 身份 验证 。 


4. 支持 连接 性 


在 Internet 发 展 的 早期 , 网络 安全 主要 强调 的 是 阻止 黑客 或 其 他 未 经 授权 用 户 访问 公司 
的 内 部 网 络 。 

然而 ， 随 着 Intemet 用 户 的 快速 增长 ， 通 过 Interet 处 理 的 业务 量 也 越 来 越 多 ， 因 此 ， 
这 些 企业 (或 其 他 消费 用 户 ) 经 常 要 进行 的 许多 活动 都 可 能 会 被 黑客 或 不 法 分 子 利 用 ， 所 以 ， 
现在 最 需要 的 是 与 信任 用 户 和 网 络 的 连接 性 。 

为 了 保证 业务 的 安全 性 ， 许 多 企业 的 传统 做 法 就 是 建立 租用 线路 。 租 用 线路 是 由 拥有 
连接 线路 的 电信 公司 建立 的 点 对 点 连接 或 其 他 连接 。 这 种 方式 非常 安全 ， 因 为 它们 直接 将 
两 个 企业 网 络 连接 起 来 ， 其 他 公司 或 用 户 不 能 使 用 该 电缆 或 连接 。 但 是 ， 租 用 线路 的 价格 
非常 昂贵 。 

为 了 削减 成 本 ， 许 多 已 经 具有 与 Internet 高 速 连接 的 企业 建立 了 虚拟 专用 网 络 (VPN)。 

VPN 使 用 加 密 、 身 份 验证 和 数据 封装 ， 数 据 封 装 是 将 数字 信息 的 数据 包装 入 另 一 个 数 
据 包 ， 从 而 保护 前 者 的 过 程 。 

这 些 VPN 可 以 在 使 用 Intemet 的 计算 机 或 者 网 络 之 间 建 立 安全 的 连接 。 数 据 通过 公众 
使 用 的 同一 个 Interet， 从 一 个 VPN 参与 者 传输 到 另 一 个 VPN 参与 者 。 不过， 数据 由 各 种 
安全 措施 进行 安全 保护 。 

在 VPN 连接 的 每 一 端 都 可 以 使 用 防火 墙 阻挡 未 授权 的 通信 。 

AAA 服务 器 可 以 对 通过 VPN 拨号 进入 受 保护 网 络 的 用 户 进行 身份 验证 。 它 们 之 所 以 
被 称 为 AAA 服务 器 , 是 由 于 可 以 确定 拨 入 的 用 户 是 谁 (身份 验证 Authentication)， 人 允许 用 户 
在 网 络 上 进行 什么 活动 (授权 Authorization), 并 且 可 以 记录 用 户 在 连接 期 间 实际 进行 了 什么 
活动 (审计 Accounting)。 

VPN 可 以 用 多 种 数据 加 密 方 法 。 这 些 方法 包括 日 益 流行 的 Intemet 协议 的 安全 (IPSec)， 
可 以 在 计算 机 、 路 由 器 和 防火 墙 之 间 加 密 数 据 ， 并 且 使 用 加 密 和 身份 验证 使 数据 沿 着 VPN 
安全 地 传输 。 数 据 以 传送 模式 或 隧道 模式 沿 着 VPN 发 送 ， 这 两 种 模式 都 加 密 TCP/IP 数据 
包 的 数据 有 效 负载 。 

数据 受到 高 度 保护 的 事实 是 建立 了 与 虚拟 “通道 ”一 样 安全 的 连接 ， 如 图 2-4 所 示 。 
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2-4 ”通过 VPN 提供 安全 连接 


本 章 小 结 


本 章 是 计算 机 网 络 安全 的 基础 概述 ， 主 要 介绍 了 计算 机 网 络 安全 的 概念 、 典 型 的 网 络 
安全 模型 、 主 要 的 网 络 安全 攻防 技术 、 网 络 安全 层次 体系 结构 、 安 全 管理 及 安全 目标 。 和 希 
望 通过 本 章 的 学 习 ， 读 者 能 够 掌握 所 涉及 的 基本 概念 ， 对 网 络 安全 有 个 总 体 认 识 ， 特 别 是 
要 对 主要 的 网 络 安全 攻防 技术 有 一 个 全 新 的 认识 与 理解 ， 以 便 对 本 书后 面 章节 所 介绍 的 攻 
防 技术 有 个 提前 的 了 解 ， 方 便 对 后 面 章节 的 学 习 。 


1. 根据 你 对 网 络 协议 的 了 解 ， 完 成 以 下 习题 。 

(1) 解释 TCP/IP 包 的 结构 和 TCP/IP 包头 的 主要 功能 。 

(2) 解释 TCP 三 次 握手 协议 及 其 主要 功能 。 

(3) 解释 UDP 和 TCP 协议 的 主要 区 别 ， 给 出 一 个 使 用 UDP 连接 的 具体 实例 和 使 用 
TCP 连接 的 具体 实例 。 

2. 常用 的 网 络 安全 攻防 技术 有 哪 几 种 ? 试 根据 自己 的 实际 情况 ， 举 例 说 明 自 己 日 常生 
活 中 所 用 到 的 一 种 网 络 攻防 技术 。 

3. 在 Windows 中 打开 cmd 窗口 ， 然 后 执行 netstat -ano 并 观察 哪些 窗口 在 监听 ， 哪 些 
端口 已 经 建立 了 TCP 连接 ， 哪 些 端口 用 于 UDP 通信 ， 并 找 出 在 这 些 窗 口 执行 程序 的 程序 
名 (提示 : 首先 通过 netstat -ano 指令 找到 端口 和 对 应 的 进程 号 PID， 然 后 从 任务 管理 器 中 选 
择 “ 进 程 ” 选 项 卡 )。 

4. 依据 本 章 所 提 到 的 知识 , 自己 查阅 相关 资料 , 写 一 篇 关于 对 网 络 安全 的 认 知 的 论文 。 
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第 3 章 计算 机 网 络 安全 威胁 


在 信息 技术 高 速 发 展 的 21 世纪 , 计算 机 作为 高 科技 工具 得 到 了 广泛 的 应 用 。 从 控制 航 
天 器 的 运行 到 日 常 办 公事 务 的 处 理 ， 从 国家 安全 机 密 信息 管理 到 金融 电子 商务 办 理 ， 计 算 
机 都 发 挥 着 极其 重要 的 作用 。 因 此 ， 计 算 机 网 络 的 安全 已 经 成 为 我 们 必须 面 对 的 问题 。 

“知己 知 彼 ， 方 能 百 战 不 列 ”。 只 有 充分 了 解 计算 机 网 络 安全 知识 ， 及 时 分 析 所 面临 
的 种 种 威胁 ， 才 能 提出 相应 的 防范 措施 和 解决 方案 。 


3.1 安全 威胁 概述 


远 在 2002 年 2 月 ,因特网 安全 巡视 小 组 CERT 协调 中 心 就 透露 , 包括 因特网 、 电 话 系 
统 及 电力 网 在 内 的 全 球 网 络 之 所 以 很 容易 遭受 攻击 ， 是 由 于 编程 中 存在 一 个 小 而 关键 的 网 
络 组 件 弱 点 而 造成 的 ， 这 个 组 件 就 是 抽象 语法 表示 法 1( 或 ASN.1)， 它 是 一 个 广泛 应 用 于 网 
络 管理 协议 (SNMP) 的 简单 通信 协议 。 

那 时 在 政府 、 网 络 互 连 厂商 、 安 全 研究 人 员 和 IT 管理 人 员 中 ， 普 遍 存在 的 一 个 担忧 ， 
就 是 在 许多 通信 网 络 (包括 国家 关键 设施 ， 如 因特网 、 电 话 系统 及 电力 网 等 ) 中 包含 着 上 述 
致命 的 组 件 ， 导 致 这 些 网 络 非常 容易 受到 缓冲 区 溢出 破坏 和 恶意 数据 包 的 攻击 。 

这 个 例子 仅仅 是 考虑 全 球 网 络 可 能 发 生 事件 的 后 果 ， 在 政府 、 网 络 互 连 制造 商 、 安 全 
研究 人 员 和 IT 管理 人 员 中 ， 会 引起 广泛 传播 的 恐慌 ， 会 有 潜在 的 可 能 性 事故 。 

网 络 威胁 的 数量 与 日 俱 增 ， 但 允许 处 理 它 们 的 时 间 窗 口 却 在 迅速 缩小 。 黑 客 工 具 变 得 
越 来 越 复杂 和 强大 。 

目前 ， 弱 点 的 宣布 与 自然 环境 下 的 实际 软件 部 署 之 间 的 平均 时 间 越 来 越 短 。 

传统 上 ， 安 全 被 定义 为 通过 维持 高 度 机 密 性 和 有 关 对 象 的 信息 完整 性 ， 并 在 需要 时 提 
供 有 关 对 象 的 信息 以 防止 未 授权 访问 、 使 用 、 更 改 、 偷 窃 或 对 目标 对 象 的 物理 损坏 的 过 程 。 
同时 ， 也 存在 着 一 个 很 多 人 认为 是 理所当然 的 常见 错误 观念 ， 就 是 可 以 取得 完美 无 缺 的 安 
全 状态 。 这 种 观念 是 错误 的 ， 因 为 根本 就 不 存在 对 象 的 “安全 状态 ”， 因 为 不 存在 可 以 处 
在 完美 的 安全 状态 而 且 仍 很 有 用 的 对 象 。 

如 果 处 理 过 程 可 以 维持 对 象 最 高 的 内 在 价值 ， 该 对 象 就 是 安全 的 。 由 于 对 象 的 内 在 价 
值 要 依赖 于 很 多 因素 ， 在 给 定 的 时 间 内 ， 既 包括 对 象 内 部 的 ， 也 包括 外 部 的 ， 如 果 对 象 在 
所 有 可 能 的 情况 下 假定 它 的 内 在 价值 最 大 ， 那 么 就 认为 对 象 是 安全 的 。 因 此 ， 安 全 处 理 过 
程 一 直 努 力 维持 对 象 的 最 大 内 在 价值 。 

藉 此 ， 国 际 标准 化 组 织 (ISO) 将 “计算 机 安全 ”定义 为 : 为 数据 处 理 系统 建立 和 采取 的 
技术 和 管理 的 安全 保护 ， 保 护 计算 机 硬件 、 软 件数 据 不 因 偶 然 和 恶意 的 原因 而 遭 到 破坏 、 
更 改 和 泄露 。 目 前 ， 绝 大 多 数 计算 机 都 是 互联 网 的 一 部 分 ， 因 此 ， 计 算 机 安全 又 可 分 为 物 
理 安全 和 信息 安全 ， 是 指 对 计算 机 的 完整 性 、 真 实 性 、 保 密 性 的 保护 ， 而 网 络 安 全 性 的 含 
义 ， 是 信息 安全 的 引申 。 计 算 机 网 络 安全 问题 是 指 电脑 中 正常 运作 的 程序 突然 中 断 或 影响 
计算 机 系统 或 网 络 系统 正常 工作 的 事件 ， 主 要 是 指 那些 计算 机 被 攻击 、 计 算 机 内 部 信息 被 
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窃取 及 网 络 系统 损害 等 事故 。 网 络 安全 问题 的 特点 在 于 突 发 性 、 多 样 性 和 不 可 预知 性 ， 往 
往 在 短 时 间 内 就 会 造成 巨大 的 破坏 和 损失 。 

信息 (可 以 理解 为 计算 机 软件 数据 ) 是 一 种 对 象 。 尽 管 它 是 一 种 无 形 的 对 象 ， 其 内 在 价 
值 却 可 以 维持 在 一 个 较 高 的 状态 ， 从 而 应 确保 它 是 安全 的 。 与 之 相对 的 则 是 有 形 的 对 象 ， 
如 服务 器 、 客 户 机 和 通信 信道 (可 以 理解 为 计算 机 硬件 )。 为 了 维护 及 确保 全 球 计算 机 网 络 
的 安全 ， 就 需要 维持 包括 有 形 对 象 和 无 形 对 象 的 信息 的 最 高 的 内 在 价值 。 由 于 内 部 和 外 部 
的 力量 ， 并 不 容易 将 对 象 的 内 在 价值 保持 在 最 高 等 级 ， 这 些 力量 构成 了 对 对 象 的 安全 威胁 。 
对 于 全 球 计算 机 网 络 来 讲 ， 安 全 威胁 直接 针对 由 有 形 和 无 形 的 对 象 组 成 的 全 球 基础 设施 ， 
如 服务 器 、 客 户 机 、 通 信 信 道 、 文 件 和 信息 等 。 

威胁 的 形式 多 种 多 样 ， 包 括 病毒 、 里 虫 、 分 布 式 拒绝 服务 攻击 、 电 子 炸弹 ， 动 机 包括 
报复 、 个 人 利益 、 仇 恨 和 娱乐 等 。 


3.2 ”安全 威胁 的 来 源 


对 计算 机 信息 构成 不 安全 的 因素 很 多 ， 包 括 人 为 的 因素 、 自 然 的 因素 和 偶发 的 因素 。 
其 中 ， 人 为 因素 是 指 一 些 不 法 之 徒 利 用 计算 机 网 络 存在 的 漏洞 ， 或 者 潜入 计算 机 房 ， 盗 用 
计算 机 系统 资源 ， 非 法 获取 重要 数据 、 算 改 系统 数据 、 破 坏 硬 件 设备 、 编 制 计算 机 病毒 。 

人 为 因素 是 对 计算 机 信息 网 络 安全 威胁 最 大 的 因素 。 计 算 机 网 络 不 安全 因素 主要 表现 
在 以 下 几 个 方面 。 


3.2.1 设计 理念 


计算 机 网 络 基础 设施 和 通信 协议 构建 的 设计 理念 已 经 极 大 地 促进 了 网 络 空间 的 发 展 ， 
同时 也 造成 了 网 络 空间 的 许多 次 病 。 

因特网 和 网 络 空间 的 增长 是 一 个 不 断 进步 的 开放 体系 结构 。 这 一 理念 吸引 很 多 头脑 聪 
明 的 人 为 之 努力 工作 并 做 出 很 大 贡献 。 得 益 于 很 多 免费 的 最 佳 思想 的 贡献 ， 因 特 网 呈 跨 越 
式 增 长 。 该 理念 也 助长 了 冒险 精神 和 个 人 主义 的 发 展 ， 推 动 了 计算 机 行业 的 增长 ， 激 发 了 
网 络 空间 的 增长 。 

由 于 理念 不 是 建立 在 明确 的 蓝图 基础 上 的 ， 新 功能 的 开发 和 添加 是 作为 对 短缺 并 且 不 
断 变化 着 的 开发 基础 设施 的 需求 的 响应 而 出 现 的 。 这 样 ， 以 需求 驱动 的 协议 设计 和 开发 ， 
必然 会 导致 计算 机 网 络 基础 设施 和 协议 一 直 存 在 弱点 和 漏洞 。 

除了 理念 之 外 ， 网 络 基础 设施 和 协议 的 开发 者 也 遵守 尽 可 能 创建 用 户 友好 、 有 效 和 透 
明 接 口 的 策略 ， 因 此 ， 所 有 受过 教育 的 用 户 都 可 以 加 以 使 用 ， 而 不 必 知 道 网 络 是 如 何 工作 
的 ， 因 而 不 必 关 心 具 体 细节 实现 的 问题 。 

通信 网 络 基础 设施 的 设计 者 认为 ， 如 果 系 统 要 尽 可 能 多 地 为 多 人 服务 ， 最 好 采用 这 种 
方式 。 尽 管 这 样 做 使 得 接口 实现 简单 ， 但 它 也 有 不 利 的 一 面 ， 有 具体 在 于 用 户 不 关心 或 很 少 
关心 系统 的 安全 。 

策略 像 磁铁 一 样 吸引 各 种 各 样 的 人 探索 网 络 的 特点 ， 以 便 寻 找 挑战 、 冒 险 、 乐 趣 以 及 
各 种 形式 的 个 人 满足 。 


3.2.2 网络 基础 设施 和 通信 协议 中 的 弱点 


由 上 述 设计 理念 导致 的 复杂 问题 是 通信 协议 中 弱点 的 出 现 。 因 特 网 是 一 种 分 组 网 络 ， 
通过 将 数据 分 成 小 的 单独 寻 址 的 分 组 ， 可 以 被 网 络 上 的 网 状 交 换 元 素 下 载 。 每 个 单独 的 分 
组 通过 网 络 寻找 路 径 而 非 预定 的 路 由 ， 接 收 元 素 进 行 重新 组 合 ， 形 成 原来 的 信息 。 为 了 完 
成 传输 ， 分 组 网 络 需 要 在 传输 要 素 之 间 形 成 一 个 强 有 力 的 信任 关系 。 

随 着 数据 包 的 分 段 、 传 送 和 重组 , 每 个 单独 分 组 和 中 间 传 输 元 素 的 安全 必须 得 到 保障 。 
这 在 网 络 空间 的 当前 协议 中 并 不 能 实现 。 在 某 些 地方 ， 非 授权 用 户 通过 端口 扫描 设法 入 侵 、 
渗透 、 欺 骗 并 截获 分 组 。 

TCP/IP 协议 是 因特网 的 基础 。 但 该 协议 更 多 考虑 的 是 使 用 的 方便 性 ， 而 忽视 了 对 网 络 
安全 性 的 考虑 。 从 TCP 协议 和 卫 协议 来 分 析 ， 卫 数据 包 是 不 加 密 的， 没有 重 传 机 制 ， 没 
有 校 验 功能 ，IP 数据 包 在 传输 过 程 中 很 容易 被 恶意 者 抓 包 分 析 ， 查 看 网 络 中 的 安全 漏洞 。 
TCP 是 有 校 验 和 重 传 机 制 的 ， 但 是 ， 它 建立 连接 要 经 过 三 次 握手 !( 如 图 3-1 所 示 )， 这 也 是 
该 协议 的 缺陷 ， 服 务 器 端 必须 等 到 客户 端 给 第 三 次 的 确认 时 ， 才 能 建立 一 个 完整 的 TCP 连 
接 , 否则 , 该 连接 一 直 会 在 缓存 中 ， 占 用 TCP 的 连接 缓存 ， 导 致 其 他 客户 不 能 访问 服务 器 。 


宣 户 服务 器 
| 时 A By ] 
zw id + 打开 
L a — SYN i | 
N=1 
qx LISTEN 
SYN- a 
xz 
SENT ei sq 
3 一 SYN- 
一 CR- RCVD 
sx 
Lackts vi 
ESTAB- 人 
LISHED 


3-1 TCP 三 次 握手 连接 


TCP/IP 模型 没有 清楚 地 区 分 哪些 是 规范 、 哪些 是 实现 , 它 的 主机 -网 络 层 定 义 了 网 络 层 
与 数据 链 路 层 的 接口 ， 这 并 不 是 常规 意义 上 的 一 层 ， 接 口 和 层 的 区 别 是 非常 重要 的 ， 这 里 
却 没有 将 它们 区 分 开 来 。 这 就 给 一 些 非法 者 提供 了 可 乘 之 机 ， 可 以 利用 它 的 安全 缺陷 来 
实施 攻击 。 

除 此 之 外 ， 端 口 也 被 广泛 地 应 用 于 网 络 通信 中 ， 存 在 被 进程 用 来 提供 服务 的 众所周知 
的 端口 ， 如 端口 0~1023 被 系统 进程 以 及 其 他 高 特权 的 程序 所 广泛 应 用 。 这 就 意味 着 ,如果 
这 些 端 口 的 访问 受到 攻击 ， 入 侵 者 就 可 能 访问 整个 系统 。 入 侵 者 可 通过 端口 扫描 发 现 打开 
的 是 哪个 端口 。 

下 面 的 两 个 例子 来 自 G-Lock 软件 ， 它 们 显示 了 如 何 进 行 端口 扫描 。 


1 TCP 三 次 握手 连接 的 原理 详 见 第 5 章 中 SYN 泛 洪 攻 击 的 相关 内 容 。 


RN 
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@ TCP connect0 扫 描 : 是 最 基本 的 TCP 扫描 形式 。 攻击 者 的 主机 直接 发 出 connect0， 
系统 调用 列表 中 选 定 的 一 台 机 器 上 的 目标 端口 。 如 果 端 口 正在 监听 ，connectO 系 
统 调用 就 会 成 功 ， 否 则 ， 端 口 不 可 达 并 且 服 务 不 可 用 。 

@ UDP 的 互联 网 控制 报 文 协议 ICMP) 端 口 不 可 达 扫 描 : 是 少数 的 几 种 UDP 扫描 之 

1 第 1 章 可 知 ，UDP 是 一 种 无 连接 的 协议 ， 因 此 ， 由 于 UDP 端口 不 需要 对 
探测 做 出 响应 ， ee. eu 当 入 侵 者 发 送 一 个 分 组 到 一 个 关闭 的 UDP 
端口 时 ， 大 多 数 实现 会 一 个 ICMP port_unreachable 错误 。 当 没有 做 出 这 种 响 
应 时 ， ee 

除了 经 过 端口 扫描 确定 的 端口 号 外 ，TCP 和 UDP 协议 还 可 能 遭受 其 他 漏洞 攻击 。 


3.2.3 快速 增长 的 网 络 空间 


无 论 如 何 , 网 络 总 会 存在 很 多 的 安全 问题 。 自从 20 世纪 60 年 代 初 ARPAnet 出 现 以 后 ， 
因特网 得 到 了 显著 的 增长 ， 特 别 是 近年 来 ， 用 户 数 量 呈 爆炸 式 增长 ， 使 联网 计算 机 数量 出 
现 激增 。 

1985 年 ， 因 特 网 不 超过 2000 台 互 连 的 计算 机 ， 相 应 的 用 户 数量 也 不 过 区 区 数 万 人 。 
到 了 2012 年 ， 网 民 数 量 已 上 升 至 约 22.9 亿 人 。 全 球 性 社交 营销 代理 机 构 We Are Social 发 
布 报告 称 ， 目 前 亚洲 互联 网 用 户 数量 占 全 球 互联 网 用 户 总 数 的 45%。 从 数据 中 看 出 ， 亚 洲 
拥有 互联 网 发 展 的 巨大 市 场 潜力 。 

从 各 方面 讲 ， 这 都 是 一 个 巨大 的 增长 。 随 着 它 的 增长 ， 它 为 越 来 越 多 的 用 户 带 来 了 不 
同 的 道德 标准 的 影响 ， 因 特 网 为 人 类 增加 服务 的 同时 ， 也 要 求 用 户 承担 更 多 的 责任 。 在 世 
纪 之 交 ， 许 多 国家 发 现 ， 国 家 的 重要 基础 设施 与 全 球 网 络 已 经 牢固 地 结合 在 一 起 。 一 种 人 
与 计算 机 之 间 、 国 家 之 间 的 相互 依存 关系 已 经 在 全 球 网 络 上 建立 ， 从 而 迫切 需要 保护 存储 
在 这 些 网 络 计 算 机 上 的 大 量 信息 。 因 特 网 易于 使 用 和 访问 ， 并 且 个 人 、 商 业 以 及 军事 数据 
被 大 量 地 储存 在 因特网 上 ， 这 就 逐渐 导致 不 仅 针对 个 人 和 商业 利益 存在 威胁 ， 而 且 也 对 国 
防 造成 巨大 的 安全 威胁 。 

随 着 越 来 越 多 的 人 开始 享受 因特网 提供 的 潜在 功能 ， 越 来 越 多 动机 可 疑 的 人 也 被 吸引 
到 因特网 上 来 ， 在 他 们 看 来 ， 这 里 存放 着 他 们 通过 非法 途径 可 以 获得 的 无 穷 财富 。 这 种 人 
构成 了 对 因特网 信息 内 容 的 潜在 威胁 ， 对 这 种 安全 威胁 必须 加 以 处 理 。 

安全 公司 Symantec 的 统计 数据 中 显示 ， 目 前 ， 因 特 网 的 攻击 活动 每 年 增长 64%。 同 样 
的 统计 数据 中 显示 , 连接 到 因特网 的 公司 受到 的 攻击 , 平均 每 周 次 数 与 以 往 相 比 有 所 增加 。 
Symantec 报告 每 个 月 出 现 400 到 500 种 新 病毒 ， 计算 机 程序 每 月 大 约 有 250 个 新 的 漏洞 
出 现 。 

事实 上 ， 因 特 网 的 增长 速度 ， 正 带 来 有 史 以 来 最 大 的 安全 威胁 ， 其 潜在 的 安全 隐患 也 
被 无 限 放大 。 目 前 ， 安 全 专家 正 陷入 与 这 些 似乎 暂时 失败 的 恶意 黑客 的 致命 竞争 之 中 。 


3.2.4 网 络 黑客 社区 的 增长 


尽管 其 他 因素 也 会 对 安全 威胁 造成 很 大 的 影响 ， 但 在 一 般 人 眼中 ， 计 算 机 和 电信 网 络 
的 头号 安全 威胁 莫 过 于 黑客 群体 的 增长 。 网 络 黑客 通常 是 计算 机 技术 水 平 相当 高 的 计算 机 
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全 | 专家 ， 甚 至 是 一 些 程序 设计 人 员 。 他 们 和 赁 着 对 计算 机 系统 的 各 种 漏洞 的 熟悉 和 了 解 ， 有 可 
机 | 能 通过 网 络 非法 入 侵 他 人 的 计算 机 系统 ， 窃 取 其 计算 机 上 的 各 种 数据 ， 如 果 入 侵 的 计算 机 
蓝 | 上 有 敏感 数据 的 话 ， 往 往 会 造成 比较 严重 的 后 果 。 
灾 | 。。 随 着 越 来 越 多 的 黑客 成 功 地 利用 病毒 、 蠕 虫 和 DDoS 对 计算 机 和 电信 系统 进行 攻击 (有 
剂 “时 是 破坏 性 的 )， 使 得 这 种 威胁 可 以 成 为 新 闻 头 条 , 并 且 也 能 入 侵 普通 人 家 。 从 这 一 点 上 讲 ， 
创 | 网 络 黑客 给 信息 安全 带 来 的 威胁 不 亚 于 计算 机 病毒 。 

一 般 公众 、 计 算 机 用 户 、 策 略 制定 者 、 家 长 和 立法 者 都 注意 到 ， 全 球 网 络 已 发 展 到 惊 
人 的 规模 ， 连 国家 重要 的 基础 设施 也 越 来 越 多 地 融入 到 了 这 个 全 球 性 网 络 之 中 。 网 络 对 于 
个 人 和 国家 安全 的 威胁 越 来 越 大 ， 甚至 到 了 惊人 的 程度 。 人 们 对 于 网 络 攻击 也 越 来 越久 
某 些 网 络 攻击 ， 如 1988 年 爆发 的 “因特网 蠕虫 ”，1991 年 的 “ 米 开朗 琪 罗 病 毒 ”，1999 
年 的 “ 梅 丽 茫 病毒 ”，2003 年 的 “SQL 蠕虫 ” 等， 让 人 们 对 网 络 攻击 的 恐 恨 甚至 到 了 歌 斯 
底 里 的 地 步 。 


3.2.5 ”操作 系统 协议 中 的 漏洞 


对 全 球 计算 机 系统 安全 威胁 最 大 的 一 个 领域 是 软件 方面 的 错误 ， 特 别 是 网 络 操作 系统 
的 错误 。 操 作 系 统 不 只 是 对 计算 机 系统 平稳 运行 的 控制 ， 以 及 在 提供 重要 服务 上 起 至 关 重 
要 的 作用 ， 而 且 在 对 重要 系统 资源 访问 中 的 系统 安全 担任 着 关键 的 角色 。 脆 弱 的 操作 系统 
会 允许 攻击 者 接管 计算 机 系统 ， 做 授权 的 超级 用 户 可 以 做 的 任何 事情 ， 如 更 改 文件 、 安 装 
和 运行 软件 或 重新 格式 化 硬盘 驱动 器 。 

每 个 操作 系统 都 会 带 有 一 些 安全 漏洞 。 事 实 上， 许多 安全 漏洞 就 是 针对 特定 操作 系统 
的 。 黑 客 会 查找 操作 系统 的 标识 信息 (如 文件 扩展 ) 并 加 以 利用 。 我 们 经 常 使 用 的 Windows 
操作 系统 主要 的 安全 漏洞 有 : 允许 攻击 者 执行 任意 指令 的 UPNP 服务 漏洞 、 可 以 删除 用 户 
系统 文件 的 帮助 和 支持 中 心 漏洞 、 可 以 锁定 用 户 账号 的 账号 快速 切换 漏洞 等 。 


3.2.6 用 户 安全 意识 不 强 


在 计算 机 网 络 中 ， 我 们 设置 了 许多 安全 的 保护 屏障 ， 但 人 们 普遍 缺乏 安全 意识 (如 某 用 
户 账号 为 zys， 其 口令 就 是 888888、666666 或 者 干脆 就 是 zys 等 )， 从 而 使 这 些 保护 措施 形 
同 虚设 。 许 多 应 用 服务 系统 在 访问 控制 及 安全 通信 方面 考虑 较 少 ， 系 统 设置 错误 ， 从 而 很 
容易 造成 重要 数据 的 丢失 。 此 外 ， 有 些 单 位 管理 制度 不 健全 ， 网 络 管理 、 维 护 不 彻底 ， 造 
成 操作 口令 的 泄漏 ， 机 密 文 件 被 人 利用 ， 临 时 文件 未 及 时 删除 而 被 窃取 。 这 些 ， 都 给 网 络 
攻击 者 提供 了 便利 。 例 如 ， 人 们 为 了 避 开 代理 服务 器 的 额外 认证 ， 直 接 进行 点 对 点 协议 的 
连接 ， 从 而 失去 了 防火 墙 的 保护 ， 加 大 了 网 络 安全 威胁 。 


3.2.7 不 可 见 的 安全 威 用 内 部 人 员 的 影响 


在 我 们 的 日 常生 活 中 ， 新 闻 媒 体 经 常 报道 ， 在 暴力 犯罪 案件 (如 谋杀 ) 中 ， 一 个 人 很 可 
能 是 被 陌生 人 所 攻击 的 。 然 而 ， 真 正 的 官方 (警察 和 法 院 ) 记 录 显 示 却 并 非 如 此 。 网 络 安全 
中 也 是 如 此 。 一 份 研究 资料 显示 ， 对 企业 的 最 大 威胁 其 实在 于 自己 的 员工 。 

1997 年 ，Emst&Young 财务 公司 针对 网 络 安全 问题 采访 了 世界 各 地 的 4226 位 IT 经 
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和 专业 人 士 。 从 回复 结果 中 ，75% 的 经 理 表 示 ， 他 们 认为 授权 用 户 和 雇员 对 其 系统 安全 构 
成 威胁 。42% 的 调查 对 象 报告 他 们 在 过 去 一 年 中 经 历 过 外 部 恶意 攻击 ， 而 43% 的 报告 涉及 
雇员 的 恶意 操作 。 

2002 年 ， 英 国贸 易 部 通过 PricewaterhouseCoopers 咨询 公司 发 起 了 信息 安全 泄露 调查 ， 
调查 结果 表明 ， 在 小 公司 中 ，32% 的 最 严重 的 事件 是 由 公司 内 部 因素 引起 的 ， 这 一 数字 在 
大 公司 中 则 上 升 至 48%。 

其 他 研究 结果 也 显示 内 部 人 员 对 公司 所 做 的 安全 损害 的 百分比 会 略 有 不 同 。 正 如 统计 
数据 显示 ， 许 多 公司 的 管理 和 安全 经 理 一 直 忽 视 对 那些 将 公司 秘密 卖 给 竞争 对 手 的 内 部 职 
员 的 处 理 。 

据 一 家 位 于 美国 俄亥俄 州 的 专业 化 信息 安全 咨询 公司 SafeCorp 公司 的 总 裁 和 首席 执行 
官 Jack Strauss 所 述 ， 公 司 内 部 人 士 有 意 或 无 意 地 滥用 信息 ,构成 了 如 今 以 因特网 为 商业 中 
心 的 经 营 的 最 大 信息 安全 威胁 。Strauss 相信 这 是 公司 负责 人 的 错误 ， 因 为 他 们 忽视 锁 住 建 
筑 物 后 门 ， 或 者 笔记 本 上 没有 对 敏感 数据 加 密 ， 或 者 当 雇 员 离 开 公司 后 ， 没 有 及 时 撤消 其 
访问 权限 。 


3.2.8 社会 工程 


除了 来 自 公司 内 部 人 员 本 身 明知 和 故意 的 情况 下 造成 的 安全 威胁 外 ， 内 部 人 员 的 影响 
还 可 以 包括 在 不 知 不 觉 情 况 下 ， 通 过 社会 工程 力量 成 为 内 部 安全 威胁 的 部 分 。 社 会 工程 由 
大 量 的 入 侵 者 组 成 ， 例 如 来 自 组 织 内 外 的 黑客 ， 他 们 通过 伪装 成 网 络 的 合法 用 户 ， 获 得 系 
统 的 授权 。 社 会 工程 可 以 用 多 种 方式 进行 ， 包 括 在 线 、 电 话 ， 甚 至 通过 书信 物理 地 模拟 和 
假扮 成 已 知 具有 访问 系统 权限 的 个 人 。 

社会 工程 经 过 一 定时 期 的 发 展 ， 进 而 形成 了 社会 工程 学 。 

在 现实 生活 中 ， 社 会 工程 学 主要 有 以 下 几 种 典型 的 形式 。 

1.， 环境 渗透 


为 了 获得 所 需要 的 情报 或 敏感 信息 ， 对 特定 的 环境 进行 渗透 是 其 常规 手段 之 一 。 攻 击 
者 大 多 采取 各 种 手段 进入 目标 内 部 ， 然 后 利用 各 种 便利 条 件 进行 观察 或 窃听 ， 得 到 自己 所 
需 的 信息 ; 或 者 与 相关 人 员 进 行 侧面 沟通 ， 逐 步 取得 信任 ， 从 而 能 够 获取 情报 。 

2. 身份 伪造 


身份 伪造 是 指 攻击 者 利用 各 种 手段 隐藏 真实 身份 ， 以 一 种 目标 信任 的 身份 出 现 ， 来 达 
到 获取 情报 的 目的 。 攻 击 者 大 多 以 能 够 自由 出 入 目标 内 部 的 身份 出 现 ， 获 取 情报 和 信息 ; 
或 者 采取 更 高 明 的 手段 , 例如 伪造 身份 证 、 ID 卡 等 , 在 没有 专业 人 士 或 系统 检测 的 情况 下 ， 
要 识别 其 真 伪 是 有 一 定 难度 的 。 


3. 冒名 电话 
冒名 电话 是 一 种 简单 有 效 的 攻击 手段 ， 攻 击 者 也 不 必 担当 很 大 的 风险 。 一 般 情 况 下 ， 


攻击 者 冒充 亲戚 、 朋 友 、 同 学 、 同 事 、 上 司 、 下 属 、 高 级 官员 、 知 名 人 士 等 ， 通 过 电话 从 
目标 处 获取 信息 。 相 对 来 说 ， 冒 充 上 司 或 高 级 官员 容易 一 些 ， 因 为 迫 于 一 种 压力 ， 目 标 就 


算 有 所 怀疑 ， 也 不 敢 加 以 追究 。 利 用 设备 转换 或 者 模拟 “正常 ”上 司 或 者 其 他 人 的 声音 3 
进行 电话 欺骗 ， 其 成 功率 更 高 。 

4. “信件 伪造 

随 着 计算 机 应 用 的 普及 ， 在 很 多 场合 ， 动 笔 写 信 的 方式 已 被 计算 机 所 取代 ， 于 是 信件 
伪造 变 得 容易 起 来 。 例 如 伪造 “中 奖 ” 信 件 、“ 被 授予 某 某 荣誉 ”信件 ， 伪 造 “ 邀 请 参加 
大 型 活动 ”信件 ， 但 都 需要 缴纳 相关 费用 或 填写 详细 的 个 人 信息 ， 或 伪造 敲诈 勒索 信件 以 
骗取 钱财 或 情报 等 。 


5 个 体 配合 


个 体 配 合 是 对 信息 安全 危害 较 大 的 一 种 社会 工程 学 攻击 方法 ， 它 要 求 目标 内 部 人 员 与 
攻击 者 达成 某 种 一 致 ， 为 攻击 提供 各 种 便利 条 件 。 个 人 的 说 服 力 是 使 某 人 配合 或 顺从 攻击 
者 意图 的 一 种 有 力 手 段 ， 特 别 是 当 目 标的 利益 与 攻击 者 的 利益 没有 冲突 ， 甚 至 与 攻击 者 的 
利益 一 致 时 ， 这 种 手段 就 会 非常 有 效 。 如 果 目 标 内 部 人 员 已 经 心 存 不 满 ， 甚 至 有 了 报复 的 
念头 ， 那 么 配合 就 很 容易 达成 ， 甚 至 会 成 为 攻击 者 的 助手 ， 帮 助攻 击 者 获得 意 想不到 的 情 
报 或 数据 。 


6.， 反 向 社会 工程 学 


反 向 社会 工程 学 (Reverse Social Engineering) 是 指 攻击 者 通过 技术 或 者 非 技术 的 手段 给 
网 络 或 者 计算 机 应 用 制造 “问题 ”， 使 其 公司 员工 深信 ， 诱 使 工作 人 员 或 者 网 络 管理 人 员 
透露 或 者 泄漏 攻击 者 需要 获取 的 信息 。 该 方法 比较 隐蔽 ， 很 难 发 现 ， 危 害 也 特别 大 ， 不 容 
易 防 范 。 

总 之 ， 社 会 工程 学 的 快速 发 展 使 之 成 为 当前 威胁 网 络 安全 的 一 大 隐患 。 常 见 的 表现 形 
式 有 地 址 欺骗 (如 域名 欺骗 、IP 地 址 欺骗 、 链 接 文字 欺骗 、Unicode 编码 欺骗 )、 邮 件 欺骗 、 
消息 欺骗 、 软 件 欺骗 、 窗 口 欺 骗 等 。 

奥 名 昭著 的 黑客 凯 文 。 米 特 尼克 曾 广 泛 地 使 用 社会 工程 ， 突 破 了 某 些 国 家 最 安全 的 网 
络 ， 使 用 他 的 令 人 难以 置信 的 计算 机 黑客 社会 工程 技巧 ， 从 别人 那里 骗取 了 一 些 重要 信息 
(如 密码 )。 


3.2.9 ”物理 盗窃 


随 着 为 了 保持 商业 竞争 力 和 保持 国家 强劲 的 持续 经 济 增长 而 带 来 的 对 信息 需求 的 增 
加 ， 笔 记 本 电脑 和 PDA 盗窃 呈 上 升 趋势 。 

如 2000 年 1 月 , 美国 国务 院 总 部 的 第 6 层 楼 丢失 了 用 于 记录 不 公开 的 核 扩散 意外 事件 
的 笔记 本 。 同 年 3 月 , 为 军情 五 处 (MI5) 一 一 英国 国家 情报 机 关 工 作 的 英国 会 计 师 在 伦敦 帕 
丁 顿 火车 站 等 候 火车 时 ， 被 抢 走 了 夹 在 双 腿 之 间 的 笔记 本 。 诸 如 此 类 的 案件 比比 丝 是 。 据 
计算 机 保险 公司 Safeware 统计 ，1999 年 大 约 有 319,000 台 笔 记 本 电脑 被 盗 ， 硬 件 设备 总 费 
用 就 超过 了 8 亿美 元 。 

相信 在 网 络 高 速 发 展 的 今天 ， 这 个 数字 肯定 又 有 了 很 大 程度 的 提高 ， 因 此 而 造成 的 损 
失 也 就 变 得 愈 发 庞大 。 
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3.3 ”安全 威胁 动机 


我 们 已 经 了 解 到 ， 安 全 威胁 可 能 来 自 于 自然 灾害 或 无 目的 的 人 类 活动 ， 大 部 分 网 络 空 
间 威 胁 及 由 此 而 导致 的 攻击 都 来 自 于 人 ， 既 可 由 内 部 人 员 引 起 ， 也 可 由 外 部 的 黑客 和 罪犯 
的 非法 行为 引起 。 美 国联 邦 调查 局 (EBD 的 外 国 反 间谍 任务 已 将 安全 威胁 根据 丽 怖 主义 、 军 
事 间谍 、 经 济 间谍 、 仇 杀 和 报复 以 及 仇恨 进行 了 大 致 的 分 类 。 


1. 恐怖 主义 


随 着 我 们 越 来 越 多 地 依赖 于 计算 机 和 计算 机 通信 ， 便 打开 了 “潘多拉 ”之 盒 ， 我 们 现 
在 称 其 为 “电子 恐怖 主义 ”。 电 子 恐 怖 主义 基于 政治 、 宗 教 ， 也 很 可 能 是 由 于 仇恨 的 原因 
而 攻击 军事 设施 、 银 行 以 及 许多 其 他 利益 目标 。 这 种 新 的 恐怖 主义 都 属于 新 一 代 的 黑客 ， 
他 们 不 再 将 破解 系统 作为 智力 练习 ， 而 是 要 从 行动 中 获得 利益 。 新 的 黑客 是 一 种 破解 者 ， 
他 们 了 解 并 认识 到 所 希望 获得 的 信息 的 价值 。 但 是 ， 网 络 恐 怖 主义 者 的 目的 不 仅 在 于 获取 
信息 ， 他 们 还 要 灌输 丽 惧 和 怀疑 ， 并 破坏 数据 的 完整 性 。 

这 些 黑客 中 的 某 些 人 具有 一 定 的 使 命 ， 通 常 由 外 国势 力 赞助 或 外 部 势力 协助 ， 可 能 会 
导致 暴力 行为 ， 危 及 人 的 生命 ， 这 是 针对 国家 或 组 织 的 刑事 犯罪 行为 ， 目 的 是 恐吓 或 胁迫 
人 们 ， 从 而 达到 影响 政策 的 目的 。 如 2009 年 上 了 映 的 美国 大 片 《 特 种 部 队 : 眼镜 蛇 的 崛起 》 
中 ， 一 个 名 为 “眼镜 蛇 ” 的 恐怖 组 织 为 达到 自己 控制 世界 的 目的 ， 在 开始 的 一 次 行动 中 将 
法 国标 志 性 建筑 埃菲尔 铁塔 项 刻 间 化 为 马 有 。 这 虽然 是 电影 中 的 镜头 ， 但 是 ， 在 现实 社会 
中 ， 与 之 类 似 的 恐怖 活动 确实 是 存在 的 ， 并 时 刻 都 在 威胁 着 世界 的 安全 与 和 平 。 


2. 军事 间谍 


军事 间谍 又 称 军事 情报 员 ， 即 运用 各 种 方式 侦查 目标 国家 的 军事 机 密 ， 将 情报 内 容 汇 
报 给 委派 国家 的 特殊 职业 人 员 。 依 据 政治 、 军 事 、 经 济 、 科 技 等 重要 的 机 密 情 报 ， 可 以 为 
国家 和 军队 制定 方针 、 政 策 、 作 战 计划 等 提供 依据 。 军 事 间 谍 危 害 国家 的 严重 性 ， 甚 至 能 
影响 国家 安全 ， 达 到 足以 操控 军事 胜 败 的 程度 。 

第 二 次 世界 大 战 后 ， 这 种 侦察 方式 得 到 了 迅速 发 展 ， 多 数 国家 皆 有 这 一 特殊 的 专责 单 
位 ， 遵 选 各 种 人 才 ， 投 入 大 量 经 费 ， 采 用 先进 的 技术 和 器 材 ， 广 泛 从 事 谍报 活动 ， 从 事 相 
关 情 报 收集 与 反 制 工作 。 

很 久 以 来 ， 国 家 间 总 是 以 一 种 形式 或 者 另外 一 种 形式 争夺 霸权 。 冷 战 期 间 ， 各 国 在 军 
事 领 域 进行 竞争 。 冷 战 结束 之 后 ， 间 谍 形 式 由 从 事 军事 间谍 目标 变 为 对 高 度 机 密 的 商业 信 
息 的 获取 ， 这 不 仅 让 他 们 知道 了 其 他 国家 正在 做 什么 ， 而 且 很 可 能 使 他 们 在 不 破 费 很 多 的 
情况 下 取得 军事 或 商业 的 优势 。 因 此 ， 因 特 网 的 传播 ， 对 即将 垂死 的 冷战 职业 具有 推动 僵 
尸 的 作用 ， 使 之 得 以 “重生 ”。 

在 国家 军事 和 商业 基础 中 ， 我 们 所 高 度 依赖 的 计算 机 给 间谍 以 新 的 沃土 。 与 老式 的 、 
过 时 的 风 雪 大 衣 ， 戴 着 墨镜 和 戴 手 套 的 希 区 柯 克 式 的 传统 间谍 相 比 ， 电 子 间谍 活动 有 很 多 
优点 。 例 如 ， 它 执行 起 来 便宜 ， 可 以 进入 人 类 间谍 所 无 法 进入 的 地 方 ， 万 一 失败 也 会 避免 
尴 座 ， 而 且 可 以 在 选择 的 时 间 和 地 点 进行 。 
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| 3. 经 济 间谍 

冷战 的 结束 也 终结 了 刺激 、 激 烈 的 军事 间谍 活动 。 与 此 同时 ， 政 治 间谍 与 经 济 间 谍 却 
安 悄然 莲 抛 发 展 。 经 济 间谍 无 孔 不 入 、 无 缝 不 钼 、 无 所 不 为 ， 甚 至 比 军事 间谍 更 狐 独 。 

加 冷战 结束 后 ， 美 国 作为 唯一 的 军事 、 经 济 、 信 息 超 级 大 国 ， 发 现 自己 成 了 另外 一 种 间 


谍 活 动 ( 即 经 济 间谍 ) 的 目标 。 

纯粹 的 经 济 间谍 目标 是 经 济 贸易 机 密 ， 而 根据 1996 年 美国 经 济 间谍 法 , 经 济 贸易 机 密 
定义 为 所 有 各 种 形式 和 类 型 的 金融 、 商 业 、 科 学 、 技 术 、 经 济 或 工程 信息 和 所 有 类 型 的 知 
识 产 权 ， 包 括 模式 、 计 划 、 汇 编 、 编 程 设备 、 配 方 、 设 计 、 原 型 、 方 法 、 技 术 、 过 程 、 步 
又 、 程 序 或 代码 ， 无 论 是 有 形 的 或 无 形 的 ， 或 是 否 编译 过 。 

为 了 执行 这 项 法 令 ， 并 防止 针对 美国 商业 利益 的 计算 机 攻击 ， 美 国联 邦 法 律 授权 执法 
机 关 使 用 窃听 和 其 他 监视 手段 遏制 计算 机 支持 的 信息 间谍 活动 。 


4. 将 国家 信息 基础 设施 作为 攻击 目标 


在 信息 技术 高 速 发 展 的 今天 , 攻击 国家 信息 基础 设施 成 为 新 一 代 作 战 摧毁 的 主要 目标 。 
例如 在 20 世纪 90 年 代 末 的 海湾 战争 中 ， 美 国 通过 利用 石墨 炸弹 攻击 南斯拉夫 的 国家 电网 
系统 ， 结 果 造 成 全 国 70% 的 地 区 断 电 。 这 种 对 国家 主要 电力 系统 或 主要 信息 基础 设施 的 攻 
击 ， 在 战争 中 对 于 国家 的 打击 是 致命 的 。 此 外 ， 这 种 威胁 或 攻击 也 可 能 是 外 国势 力 赞助 或 
外 国势 力 配 合 ， 针 对 目标 国家 、 企 业 、 机 构 或 人 士 的 。 它 可 以 针对 具体 的 设施 、 人 员 、 信 
息 或 计算 机 、 有 线 、 卫 星 或 与 国家 信息 基础 设施 相关 的 通信 系统 。 
这 些 活动 主要 包括 以 下 内 容 : 
e@ ”拒绝 或 中 断 计 算 机 、 有 线 、 卫 星 或 电信 服务 。 
@ 未 经 许可 监控 计算 机 、 电 缆 、 卫 星 或 电信 系统 。 
@ ”未 经 授权 的 专利 或 分 类 信息 被 暴露 存储 在 计算 机 、 有 线 、 卫 星 、 电 信 系统 中 。 
@ 未 经 授权 修改 或 破坏 计算 机 编程 代码 、 计 算 机 网 络 数据 库 、 存 储 信息 或 计算 机 
的 能 力 。 

”操作 计算 机 、 有 线 、 卫 星 或 电信 服务 ， 导 致 欺诈 或 财务 损失 ， 或 违反 其 他 联邦 法 
规 的 犯罪 行为 。 

5. 宿 怨 /报复 


有 许多 原因 导致 引起 宿 怨 或 报复 行为 。 

如 2009 年 11 月 28 日 ,在 瑞士 日 内 瓦 爆发 的 抗议 世贸 组 织 (WTO) 的 游行 示威 活动 ,2001 
年 在 华盛顿 特区 世界 银行 和 国际 货币 会 议 期 间 发 生 的 集会 游行 示威 ， 都 表明 了 群众 对 跨国 
公司 、 多 个 国家 、 政 府 及 其 他 机 构 的 一 些 决定 的 强烈 不 满 。 

这 种 不 满 推动 了 新 一 代 狂 躁 、 反 叛 的 年 轻 人 针对 系统 的 攻击 ， 他 们 认为 通过 这 种 方式 
可 以 解决 世界 问题 ， 并 能 使 全 人 类 受益 。 这 些 大 规模 计算 机 攻击 越 来 越 多 地 被 攻击 者 视 为 
针对 不 公正 的 报复 和 反击 手段 。 

然而 ， 大 多 数 宿 怨 攻击 的 原因 是 世俗 原因 ， 如 拆迁 遭 拒 、 离 婚 时 孩子 监护 权 的 归属 问 
题 ， 以 及 其 他 情况 下 ， 还 可 能 涉及 家 庭 和 亲密 关系 的 问题 等 。 
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6. 国籍 、 性 别 及 种 族 歧视 


僧 恨 是 安全 威胁 的 动机 ， 源 自 并 且 总 是 基于 个 人 或 者 群体 非常 不 喜欢 甚至 厌恶 另 一 个 
人 ， 或 基于 一 类 人 的 属性 ， 可 能 包括 国籍 、 性 别 和 种 族 ， 或 者 基于 世俗 原因 ， 如 某 个 人 的 
讲话 方式 。 攻 击 者 表现 出 异 恶 或 威胁 ， 时 常 进行 愚蠢 的 报复 和 攻击 。 


7. 爱慕 虚荣 


许多 人 ， 特 别 是 虚荣 心 强 的 年 轻 黑 客 ， 总 是 试图 闻 入 系统 ， 以 证 明 其 能 力 ， 有 时 表现 
为 向 朋友 炫耀 自己 的 聪明 或 过 人 之 处 ， 并 想 借 此 赢得 同行 的 尊重 。 


8， 贪 梦 

许多 入 侵 者 进入 某 系 统 或 某 公 司 ， 是 想 从 中 营利 或 件 取 暴 利 。 

9， 无 知 

无 知 可 以 有 多 种 存在 形式 ， 但 它 往往 发 生 在 计算 机 安全 新 手 偶 然 遇 到 系统 上 的 漏洞 或 
弱点 ， 在 不 知道 或 不 了 解 的 情况 下 就 用 它 来 攻击 其 他 系统 。 


3.4 ”安全 威胁 管理 与 防范 


3.4.1 安全 威胁 管理 


安全 威胁 管理 是 一 种 用 来 实时 监控 组 织 的 关键 安全 系统 的 技术 ， 可 以 查看 来 自 监控 传 
感 器 (如 入 侵 检测 系统 、 防 火 墙 及 其 他 扫描 传感器 ) 的 报告 。 这 些 审查 有 助 于 减少 来 自传 感 
器 的 误 报 ， 可 以 为 控制 威胁 和 评估 开发 快速 响应 技术 ， 关 联 并 升级 跨越 多 个 传感器 平台 的 
误 报 ， 并 设计 直观 的 分 析 、 取 证 及 管理 报告 。 

随 着 工作 场所 变 得 越 来 越 电子 化 以 及 重要 的 公司 信息 从 信封 和 棕色 文件 夹 转 放 到 网 上 
的 电子 数据 库 中 ， 安 全 管理 已 成 为 系统 管理 员 的 全 职工 作 。 可 疑 用 户 数量 在 增加 ， 举 报 的 
犯罪 事件 数量 也 在 急剧 上 升 , 报告 的 威胁 和 真正 的 攻击 之 间 的 响应 时 间 降 至 20 分 钟 。 为 了 
确保 公司 资源 安全 ， 安 全 管理 人 员 必 须 进 行 实时 管理 。 实 时 管理 需要 从 所 有 网 络 传感器 上 
实时 访问 数据 。 用 于 安全 威胁 管理 的 技术 分 别 是 风险 评估 和 取证 分 析 。 


1.， 风险 评估 


风险 评估 ， 是 指 依据 国家 的 有 关 标 准 ， 对 信息 系统 及 由 其 处 理 、 传 输 和 存储 的 信息 的 
保密 性 、 完 整 性 和 可 用 性 等 安全 属性 进行 分 析 和 评价 的 过 程 。 它 要 评估 资产 面临 的 威胁 及 
威胁 利用 脆弱 性 导致 安全 事件 的 可 能 性 ， 并 结合 安全 事件 所 涉及 的 资产 价值 ， 来 判断 安全 
事件 一 旦 发 生 将 会 对 组 织造 成 的 影响 。 

尽管 有 多 种 安全 威胁 的 目标 都 是 针对 相同 的 资源 ， 但 每 种 威胁 会 造成 不 同 的 风险 ， 每 
一 种 都 需要 不 同 的 风险 评估 。 某 些 威胁 的 风险 较 低 ， 而 其 余 则 相反 。 当 传感器 数据 进入 时 ， 
响应 小 组 应 评估 风险 ， 并 决定 首先 处 理 哪些 威胁 。 


a 


算 2. 取证 分 析 


各 确定 威胁 并 加 以 遏制 后 ， 接 下 来 就 是 取证 分 析 。 过 制 控制 后 ， 响 应 小 组 可 以 利用 取证 
安 | 分 析 工 具 针对 在 攻击 或 导致 攻击 的 威胁 期 间 来 自传 感 器 的 动态 报告 进行 分 析 。 应 该 进行 的 
金 | 数据 取证 分 析 必 须 保持 在 安全 状态 ， 以 保存 数据 。 如 有 必要 ， 应 非常 小 心地 储存 和 转发 。 
基 | 车 取证 分 析 的 结果 将 用 于 法 庭 ， 则 需要 最 专业 的 分 析 。 


3.4.2 ”安全 威胁 防范 措施 (技术 ) 


为 了 减少 网 络 安全 问题 造成 的 损失 ， 保 证 广大 网 络 用 户 的 利益 ， 我 们 必须 采取 网 络 安 
全 对 策 来 应 对 网 络 安全 问题 。 但 网 络 安全 对 策 不 是 万 能 的 ， 它 总 是 相对 的 ， 为 了 把 危害 降 
到 最 低 ， 我 们 必须 采用 多 种 安全 措施 来 对 网 络 进行 全 面 保护 。 

1. 漏洞 补丁 更 新 技术 


一 旦 发 现 新 的 系统 漏洞 ， 一 些 系 统 官方 网 站 会 及 时 发 布 新 的 补丁 程序 ， 但 是 ， 有 的 补 
丁 程序 要 求 正 版 认证 (例如 微软 的 Windows 操作 系统 )， 也 可 以 通过 第 三 方 软件 ， 如 系统 优 
化 大 师 (Windows 优化 大 师 )、360 安全 卫士 、 瑞 星 杀毒 软件 、 金 山 杀 毒 软件 、 迅 雷 软件 助手 
等 软件 ， 来 扫描 系统 漏洞 ， 并 自动 安装 补丁 程序 。 


2. 病毒 防护 技术 


随 着 计算 机 技术 的 高 速 发 展 ， 计 算 机 病毒 的 种 类 也 越 来 越 多 ， 病 毒 的 侵入 必 将 影响 计 
算 机 系统 的 正常 运行 。 特 别 是 通过 网 络 传播 的 计算 机 病毒 ， 能 在 很 短 的 时 间 内 使 整个 计算 
机 网 络 处 于 瘫痪 状态 ， 从 而 给 用 户 造 成 极 大 的 损失 。 

电脑 病毒 的 防治 包括 两 个 方面 : 一 是 预防 ， 以 病毒 的 原理 为 基础 ， 防 范 已 知 病毒 和 利 
用 相同 原理 设计 的 变种 病毒 ， 从 病毒 的 寄生 对 象 、 内 存 驻 留 方式 及 传染 途径 等 病毒 行为 入 
手 ， 进 行动 态 监测 和 防范 ， 防 止 外 界 病 毒 向 本 机 传染 ， 同 时 ， 抑 制 本 机 病毒 向 外 扩散 ， 二 
是 治 毒 ， 发 现 病毒 后 ， 对 其 进行 剖析 ， 选 取 特征 串 ， 从 而 设计 出 该 病毒 的 杀毒 软件 ， 对 病 
毒 进 行 处 理 。 目 前 最 常用 的 杀毒 软件 有 瑞星 、 金 山 、 卡 巴 斯 基 、NOD32 等 。 


3. 防火 墙 (Fire Wall) 技 术 


防火 墙 技术 是 指 网 络 之 间 通 过 预定 义 的 安全 策略 ， 对 内 外 网 通信 强制 实施 访问 控制 的 
安全 应 用 措施 。 它 对 两 个 或 多 个 网 络 之 间 传 输 的 数据 包 按 照 一 定 的 安全 策略 来 实施 检查 ， 
以 决定 网 络 之 间 的 通信 是 否 被 允许， 并 监视 网 络 运行 状态 。 由 于 它 简单 实用 ， 且 透明 度 高 ， 
可 以 在 不 修改 原 有 网 络 应 用 系统 的 情况 下 ， 达 到 一 定 的 安全 要 求 ， 所 以 被 广泛 使 用 。 据 预 
测 ， 近 5 年 ， 世 界 防 火 墙 需求 的 年 增长 率 将 达到 174%。 

目前 ， 市 场 上 防火 墙 产 品 很 多 ， 一 些 厂商 还 把 防火 墙 技 术 并 入 其 硬件 产品 中 ， 即 在 其 
硬件 产品 中 采取 功能 更 加 先进 的 安全 防范 机 制 。 可 以 预见 ， 防 火 墙 技术 作为 一 种 简单 实用 
的 网 络 信息 安全 技术 ， 将 得 到 进一步 发 展 。 
然而 ， 防 火 墙 也 并 非 人 们 想象 的 那样 不 可 渗透 。 在 过 去 的 统计 中 ， 曾 遭受 过 黑客 入 侵 
的 网 络 用 户 有 三 分 之 一 是 有 防火 墙 保护 的 ， 也 就 是 说 ， 要 保证 网 络 信息 的 安全 ， 还 必须 有 
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其 他 一 系列 措施 ， 例 如 对 数据 进行 加 密 处 理 。 

需要 说 明 的 是 ， 防 火 墙 只 能 抵御 来 自 外 部 网 络 的 侵扰 ， 而 对 企业 内 部 网 络 的 安全 却 无 
能 为 力 。 要 保证 企业 内 部 网 的 安全 ， 还 需 通过 对 内 部 网 络 的 有 效 控制 和 管理 来 实现 。 

4. ”数据 加 密 技术 


数据 加 密 技术 就 是 对 信息 进行 重新 编码 ， 从 而 隐藏 信息 内 容 ， 使 非法 用 户 无 法 获取 信 
息 的 真实 内 容 的 一 种 技术 手段 。 

数据 加 密 技 术 是 为 提高 信息 系统 及 数据 的 安全 性 和 保密 性 ， 防 止 秘密 数据 被 外 部 人 员 
破译 和 解析 所 采用 的 主要 手段 之 一 。 

数据 加 密 技 术 按 作 用 不 同 ， 可 分 为 数据 存储 、 数 据 传输 、 数 据 完整 性 的 鉴别 ， 以 及 密 
匙 管理 技术 4 种 。 

(1) 数据 存储 加 密 技术 以 防止 在 存储 环节 上 的 数据 失 密 为 目的 ， 可 分 为 密 文 存储 和 存 
取 控 制 两 种 。 

(2) 数据 传输 加 密 技术 的 目的 ， 是 对 传输 中 的 数据 流 加 密 ， 常 用 的 有 线路 加 密 和 端口 
加 密 两 种 方法 。 

(3) 数据 完整 性 鉴别 技术 的 目的 ， 是 对 信息 的 传送 、 存 取 、 处 理 人 的 身份 和 相关 数据 
内 容 进 行 验 证 ， 达 到 保密 的 要 求 ， 系 统 通过 对 比 ， 验 证 对 象 输入 的 特征 值 是 否 符合 预先 设 
定 的 参数 ， 实 现 对 数据 的 安全 保护 。 

(4) 数据 加 密 在 许多 场合 集中 表现 为 密 匙 的 应 用 ， 密 是 管理 技术 实际 是 为 了 数据 使 用 
方便 。 密 匙 的 管理 技术 包括 密 匙 的 产生 、 分 配 保存 、 更 换 与 销毁 等 各 环节 上 的 保密 措施 。 

数据 加 密 技术 主要 是 通过 对 网 络 数据 的 加 密 来 保障 网 络 的 安全 可 靠 性 ， 能 够 有 效 地 防 
止 机 密 信息 的 泄漏 。 另 外 ， 它 也 广泛 地 应 用 于 信息 鉴别 、 数 字 签 名 等 技术 中 ， 用 来 防止 电 
子 欺骗 ， 这 对 信息 处 理 系统 的 安全 起 到 极其 重要 的 作用 。 


5. 系统 容 灾 技术 


一 个 完整 的 网 络 安全 体系 ， 只 有 防范 和 检测 措施 是 不 够 的 ， 还 必须 具有 灾难 容忍 和 系 
统 恢复 能 力 。 因 为 任何 一 种 网 络 安全 设施 都 不 可 能 做 到 万 无 一 失 , 一 旦 发 生 漏 防 漏 检 事件 ， 
其 后 果 将 是 灾难 性 的 。 此 外 ， 天 灾 人 祸 、 不 可 抗力 等 原因 所 导致 的 事故 也 会 对 信息 系统 造 
成 毁灭 性 的 破坏 。 这 就 要 求 即使 发 生 系统 灾难 ， 信 息 系 统 也 能 快速 地 恢复 系统 和 数据 ， 这 
样 才能 完整 地 保护 网 络 信息 系统 的 安全 。 现 阶段 的 技术 主要 有 基于 数据 备份 和 基于 系统 容 
错 的 系统 容 灾 技 术 。 数 据 备份 是 数据 保护 的 最 后 屏障 ， 不 允许 有 任何 闪失 ， 但 离线 介质 不 
能 保证 安全 。 数 据 容 灾 通过 IP 容 灾 技术 来 保证 数据 的 安全 。 数 据 容 灾 使 用 两 个 存储 器 ， 在 
两 者 之 间 建 立 复制 关系 ， 一 个 放 在 本 地 ， 另 一 个 放 在 异地 。 本 地 存储 器 供 本 地 备份 系统 使 
用 ,异地 容 灾 备 份 存储 器 实时 复制 本 地 备份 存储 器 的 关键 数据 。 二 者 通过 IP 相连 ， 构 成 完 
整 的 数据 容 灾 系统 ， 也 能 提供 数据 库容 灾 功 能 。 

集群 技术 是 一 种 系统 级 的 系统 容错 技术 ， 通 过 对 系统 的 整体 元 余 和 容错 来 解决 系统 任 
何 部 件 失效 而 引起 的 系统 死机 和 不 可 用 问题 。 集 群 系统 可 以 采用 双 机 热 备份 、 本 地 集群 网 
络 和 异地 集群 网 络 等 多 种 形式 来 实现 ， 分 别提 供 不 同 的 系统 可 用 性 和 容 灾 性 。 其 中 ， 异 地 
集群 网 络 的 容 灾 性 是 最 好 的 。 存 储 、 备 份 和 容 灾 技术 的 充分 结合 ， 构 成 的 数据 存储 系统 ， 
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是 数据 技术 发 展 的 重要 阶段 。 随 着 存储 网 络 化 时 代 的 发 展 ， 传 统 的 功能 单一 的 存储 器 ， 将 
越 来 越 让 位 于 一 体 化 的 多 功能 网 络 存储 器 。 
6. 漏洞 扫描 技术 


漏洞 扫描 是 自动 检测 远 端 或 本 地 主机 安全 的 技术 , 它 查询 TCP/IP 各 种 服务 的 端口 , 并 
记录 目标 主机 的 响应 ， 收 集 关 于 某 些 特定 项 目的 有 用 信息 。 

扫描 程序 可 以 在 很 短 的 时 间 内 查 出 现存 的 安全 脆弱 点 。 扫 描 程 序 开发 者 利用 可 得 到 的 
攻击 方法 ， 并 把 它们 集成 到 整个 扫描 中 ， 扫 描 后 以 统计 的 格式 输出 ， 便 于 参考 和 分 析 。 


7. 物理 方面 的 安全 


为 保证 信息 网 络 系统 的 物理 安全 ， 还 要 防止 系统 信息 在 空间 的 扩散 。 通 常 是 在 物理 上 
采取 一 定 的 防护 措施 ， 来 减少 或 干扰 扩散 出 去 的 空间 信和 号。 为 保证 网 络 的 正常 运行 ， 在 物 
理 安全 问题 上 ， 应 从 以 下 几 方 面 采取 相应 的 措施 。 

(1) 产品 保障 方面 : 主要 指 产品 采购 、 运 输 、 安 装 等 方面 的 安全 措施 。 

(2) 运行 安全 方面 : 网 络 中 的 设备 ， 特 别 是 安全 类 产品 在 使 用 中 ， 必 须 能 够 从 厂家 或 
供 货 单位 得 到 迅速 的 技术 支持 服务 。 对 一 些 关键 设备 和 系统 应 设置 备份 系统 。 

(3) 防 电磁 辐射 方面 : 所 有 重要 涉 密 的 设备 都 需 安装 防 电磁 辐射 产品 ， 如 辐射 干扰 机 。 

(4) 保安 方面 主要 是 防盗 、 防 火 等 ， 还 包括 网 络 系统 的 所 有 网 络 设备 、 计 算 机 、 安 
全 设备 的 安全 防护 。 

我 们 可 以 看 出 ， 保 障 计算 机 网 络 安全 的 技术 是 非常 多 的 ， 但 迄今 为 止 还 没有 一 种 技 
术 能 够 完全 消除 网 络 安全 漏洞 。 网 络 的 安全 实际 上 是 理想 的 安全 策略 和 实际 执行 之 间 的 一 
种 平衡 。 我 们 不 仅 需要 在 技术 上 对 计算 机 软 硬 件 系统 进行 升级 更 新 ， 而 且 要 综合 考虑 安全 
因素 ， 制 定 合理 的 目标 、 方 案 和 相关 的 配套 法 规 ， 这 样 ， 才 能 形成 一 个 高 效 、 安 全 的 计算 
机 网 络 系统 。 

计算 机 网 络 安全 是 个 具有 综合 性 和 复杂 性 的 问题 。 面 对 网 络 安全 行业 的 飞速 发 展 以 及 
整个 社会 越 来 越 快 的 信息 化 进程 ， 各 种 新 技术 也 将 不 断 出 现 和 应 用 。 

网 络 安全 孕育 着 无 限 的 机 遇 和 挑战 ， 作 为 一 个 热门 的 研究 领域 ， 从 其 拥有 的 重要 战略 
意义 上 看 ， 相 信 未 来 网 络 安全 技术 将 会 取得 更 加 长 足 的 发 展 。 


3.5 ”安全 威胁 认 知 


安全 威胁 认 知 ， 是 为 了 引起 人 们 对 安全 威胁 普遍 和 大 量 的 关注 。 人 们 一 旦 认识 到 威胁 ， 
就 会 更 加 小 心 、 更 加 警觉 ， 就 会 对 他 们 所 做 的 更 加 负责 任 ， 也 就 更 有 可 能 遵循 安全 准则 。 

关于 规划 和 唤起 公众 认 知 的 一 个 很 好 的 例子 ， 就 是 较 新 成 立 的 美国 国土 安全 部 所 做 的 
努力 。2001 年 的 9。11 事件 对 美国 的 打击 ， 不 仅仅 是 针对 美国 民众 和 国家 的 ， 更 是 在 全 球 
范围 内 引起 了 人 们 对 安全 的 最 大 认 知 ， 在 那 以 后 ， 美 国 就 成 立 了 国土 安全 部 。 该 部 门 的 主 
要 理念 ， 在 于 使 得 每 个 人 对 安全 能 够 做 出 积极 主动 的 反应 。 


话 忆 党 导 避 兰 商 


| 


第 3 章 ，” 计 算 机 网 络 安全 成 肋 @@ 


本 章 小 结 


本 章 主 要 介绍 了 计算 机 网 络 安全 威胁 来 源 、 安 全 威胁 动机 、 安 全 威胁 管理 与 防范 及 安 
全 威胁 认 知 等 内 容 。 和 希望 通过 本 章 的 学 习 ， 读 者 可 以 对 安全 威胁 的 来 源 与 动机 有 一 个 新 的 
理解 ， 并 了 解 一 些 常见 的 安全 威胁 防范 措施 ， 以 便 为 后 续 章节 的 学 习 打下 基础 。 


练习 。 思 考题 


1. 尽管 我 们 讨论 了 几 种 安全 威胁 的 来 源 ， 但 并 没有 讨论 全 部 的 威胁 ， 还 存在 很 多 这 样 
的 来 源 ， 请 再 列 出 其 中 5 个 ， 并 加 以 讨论 。 

2. 本 章 3.2 节 指 出 ， 因 特 网 基础 设施 的 设计 理念 是 造成 弱点 的 部 分 原因 ， 由 此 而 成 为 
安全 威胁 的 来 源 之 一 。 你 觉得 会 有 更 好 的 不 同 的 理念 吗 ? 解释 一 下 原因 。 

3. 详细 描述 为 什么 三 次 握手 会 带 来 安全 威胁 。 

4. 社会 工程 常常 被 视 为 一 种 网 络 安全 威胁 来 源 。 讨 论 社会 工程 中 不 同 的 组 成 元 素 对 该 
论断 的 贡献 。 

5. 本 章 列举 了 许多 威胁 安全 的 动机 中 的 少数 几 个 。 试 讨论 另外 5 个 ， 并 详细 说 明 为 何 
存在 这 些 动机 。 

6. 请 查阅 相关 的 网 站 资料 ,进一步 了 解 国家 安全 部 为 提升 我 国民 众 安全 意识 所 做 出 的 
努力 ， 并 据 此 写 一 篇 500 字 左 右 的 小 论文 。 

7. 对 入 侵 检 测 和 防火 墙 误 报 及 漏洞 进行 研究 。 写 一 篇 有 关 处 理 这 些 情 况 的 最 住 方法 的 
执行 报告 。 
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随 着 计算 机 网 络 的 广泛 应 用 , 网络 安全 问题 变 得 日 益 突出 。 而 安全 是 网 络 发 展 的 根本 ， 
尤其 在 信息 安全 产业 领域 ， 其 固有 的 敏感 性 和 特殊 性 ， 直 接 影 响 着 国家 的 经 济 利益 和 安全 
利益 。 因 此 ， 在 网 络 化 、 信 息 化 进程 不 可 逆转 的 形势 下 ， 如 何 评估 网 络 的 安全 性 ， 如 何 最 
大 限度 地 减少 或 避免 因 信息 泄露 、 破 坏 所 造成 的 经 济 损失 ， 是 摆 在 我 们 面前 急需 解决 的 、 
具有 重大 战略 意义 的 课题 。 


4.1 网 络 安全 评价 标准 的 形成 


在 20 世纪 60 年 代 ， 美 国 国防 部 成 立 了 专门 机 构 ， 开 始 研究 计算 机 使 用 环境 中 的 安全 
策略 问题 ，70 年 代 又 在 KSOS、PSOS 和 KVM 操作 系统 上 展开 了 进一步 的 研究 工作 ，80 
年 代 ， 美 国 国防 部 发 布 了 “可 信 计 算 机 系统 评估 准则 ”(Trusted Computer System Evaluation 
Criteria，TCSEC)， 简 称 桔 皮 书 ， 后 经 修改 ,用 作 美 国 国防 部 的 标准 ， 并 相继 发 布 了 可 信 数 
据 库 解 释 (TDD、 可 信 网 络 解释 (TND 等 一 系列 相关 的 说 明和 指南 。 

1991 年 ， 英 、 法 、 德 、 荷 四 国 针对 TCSEC 准则 的 局 限 性 ， 提 出 了 包含 保密 性 、 完 整 
性 、 可 用 性 等 概念 的 欧洲 “信息 技术 安全 评估 准则 ”(Information Technology Security 
Evaluation Criteria, ITSEC)。 

1988 年 ， 加 拿 大 开始 制订 “加 拿 大 可 信 计 算 机 产品 评估 准则 ”(The Canadian Trusted 
Computer Product Evaluation Criteria，CTCPEC)。 该 标准 将 安全 需求 分 为 机 密 性 、 完 整 性 、 
可 靠 性 和 可 说 明 性 4 个 层次 。 

1990 年 ， 国 际 标准 化 组 织 ISO) 开 始 开发 通用 的 国际 标准 评估 准则 。 

1993 年 ， 美 国 对 TCSEC 做 了 补充 和 修改 ， 制 订 了 “组 合 的 联邦 标准 ”( 简 称 FC)。 

1993 年 ， 由 加 拿 大 、 法 国 、 德 国 、 荷 兰 、 英 国 、 美 国 NIST 和 美国 NSA 六 国 七 方 联合 ， 
开始 开发 通用 准则 CC(Information Technology Security Common Criteria)。1996 年 1 月 发 布 
CC 1.0 版 ，1996 年 4 月 被 ISO 采纳 ，1997 年 10 月 完成 了 CC 2.0 的 测试 版 ，1998 年 5 月 
发 布 了 CC 2.0 版 。 

1999 年 12 月 ，ISO 采纳 CC 通用 标准 ， 并 正式 发 布 了 国际 标准 ISO15408。 

评价 标准 中 ， 比 较 流 行 的 是 1985 年 由 美国 国防 部 制订 的 可 信 计 算 机 系统 评价 准则 
(Trusted Computer Standards Evaluation Criteria，TCSEC)， 而 其 他 国家 也 根据 各 自 的 国情 ， 
制订 了 相关 的 网 络 安全 评价 标准 。 我 们 将 就 一 些 典 型 的 评价 标准 展开 更 为 详细 的 阐述 。 


4.2 一 些 典型 的 评价 标准 


4.2.1 国内 评价 标准 
我 国政 府 提出 计算 机 信息 系统 实行 安全 等 级 保护 ， 并 于 1999 年 颁布 了 国家 标准 
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GB17859-1999， 即 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》( 以 下 简称 《准则 》)。 它 是 
我 国 计 算 机 信息 系统 安全 保护 等 级 工作 的 基础 。 

《准则 》 将 计算 机 安全 保护 划分 为 以 下 5 个 级 别 。 

1. 第 一 级 : 用 户 自主 保护 级 


本 级 的 计算 机 防护 系统 能 够 把 用 户 和 数据 隔 开 ， 使 用 户 具备 自主 的 安全 防护 的 能 力 。 
用 户 可 以 根据 需要 ， 采 用 系统 提供 的 访问 控制 措施 来 保护 自己 的 数据 ， 避 免 其 他 用 户 对 数 
据 的 非法 读 写 和 破坏 。 


2.， 第 二 级 : 系统 审计 保护 级 


与 第 一 级 (用 户 自主 保护 级 ) 相 比 ， 本 级 的 计算 机 防护 系统 访问 控制 更 加 精细 ， 使 得 多 
许 或 拒绝 任何 用 户 访问 单个 文件 成 为 可 能 ， 它 通过 登录 规则 、 审 计 安 全 性 相关 事件 和 隔离 
资源 ， 使 所 有 的 用 户 对 自己 行为 的 合法 性 负责 。 


3， 第 三 级 : 安全 标记 保护 级 


在 该 级 别 中 ， 除 继承 前 一 个 级 别 (系统 审计 保护 级 ) 的 安全 功能 外 ， 还 提供 有 关 安 全 策 
略 模型 、 数 据 标记 以 及 严格 访问 控制 的 非 形式 化 描述 。 系 统 中 的 每 个 对 象 都 有 一 个 敏感 性 
标签 ， 而 每 个 用 户 都 有 一 个 许可 级 别 。 许 可 级 别 定义 了 用 户 可 处 理 的 敏感 性 标签 。 系 统 中 
的 每 个 文件 都 按 内 容 分 类 ， 并 标 有 敏感 性 标签 。 任 何 对 用 户 许可 级 别 和 成 员 分 类 的 更 改 都 
受到 严格 的 控制 。 


4. 第 四 级 : 结构 化 保护 级 


本 级 计算 机 防护 系统 建立 在 一 个 明确 的 形式 化 安全 策略 模型 上 ， 它 要 求 第 三 级 (安全 标 
记 保护 级 ) 系 统 中 的 自主 和 强制 访问 控制 扩展 到 所 有 的 主体 (引起 信息 在 客体 上 流动 的 人 、 
进程 或 设备 ) 和 客体 (信息 的 载体 )。 系 统 的 设计 和 实现 要 经 过 彻底 的 测试 和 审查 。 系 统 应 结 
构 化 为 明确 而 独立 的 模块 ,实施 最 少 特权 原则 。 必 须 对 所 有 目标 和 实体 实施 访问 控制 政策 ， 
要 有 专职 人 员 负 责 实施 。 要 进行 隐蔽 信道 分 析 ， 系 统 必须 维护 一 个 保护 域 ， 保 护 系统 的 完 
整 性 ， 防 止 外 部 干扰 。 系 统 具 有 相当 的 抗 渗 透 能 力 。 


5. 第 五 级 : 访问 验证 保护 级 


本 级 的 计算 机 防护 系统 满足 访问 监控 器 的 需求 。 访 问 监控 器 仲裁 主体 对 客体 的 全 部 访 
问 。 访 问 监控 器 本 身 是 抗 算 改 的 ， 必 须 足 够 小 ， 能 够 分 析 和 测试 。 为 了 满足 访问 监控 器 的 
需求 ， 计 算 机 防护 系统 在 其 构建 时 ， 排 除 那些 对 实施 安全 策略 来 说 并 非 必要 的 部 件 ， 即 在 
设计 和 实现 时 ， 从 系统 工程 角度 ， 将 其 复杂 性 降 到 最 小 程度 。 支 持 安全 管理 员 职 能 。 扩 充 
审计 机 制 ， 当 发 生 与 安全 相关 的 事件 时 ， 发 出 信号 。 提 供 系 统 恢复 机 制 。 系 统 具 有 很 高 的 
抗 渗透 能 力 。 

我 国 是 国际 化 标准 组 织 (Intemational Standardization Organization，ISO) 的 成 员 国 ， 信 息 
安全 标准 化 工作 在 全 国信 息 技 术 标准 化 技术 委员 会 、 信 息 安全 技术 委员 会 和 社会 各 界 的 努 
力 下 正在 积极 开展 。 从 20 世纪 80 年 代 中 期 开始 ， 我 国 就 已 经 自主 地 制定 和 采用 了 一 批 相 
应 的 信息 安全 标准 。 但 是 ,标准 的 制定 ,需要 较为 广泛 的 应 用 经 验 和 较为 深入 的 研究 背景 ， 


i 


人 


算 | 相对 于 国际 上 其 他 发 达 国家 的 信息 技术 安全 评价 标准 来 讲 ， 我 国 在 这 方面 的 研究 还 存在 差 
册 距 ， 较 为 落后 ， 仍 需要 进一步 提高 。 

络 汪 

安 | 4.2.2 美国 评价 标准 

As 

安全 级 别 美国 计算 机 安全 标准 是 由 美国 国防 部 开发 的 计算 机 安全 标准 一 一 可 信 计 算 机 
全 


系统 评价 准则 ， 也 称 为 网 络 安全 橙 皮 书 ， 主 要 通过 一 些 计 算 机 安全 级 别 来 评价 一 个 计算 机 
系统 的 安全 性 。 

在 该 标准 中 定义 的 安全 级 别 描述 了 计算 机 不 同类 型 的 物理 安全 、 用 户 身份 验证 、 操 作 
系统 软件 的 可 信任 度 和 用 户 应 用 程序 。 同 时 ， 也 限制 了 什么 类 型 的 系统 可 以 连接 到 用 户 的 
系统 。 

另外 ， 该 准则 自 1985 年 问世 以 来 ， 一 直 就 没有 改变 过 ， 多 年 来 一 直 是 评估 多 用 户主 机 
和 小 型 操作 系统 的 主要 标准 。 其 他 方面 ， 如 数据 安全 、 网 络 安全 也 一 直 是 通过 该 准则 来 评 
估 的 。 如 可 信任 网 络 解释 (Trusted Network Iterpretation)、 可 信任 数据 库 解 释 (Trusted 
Database Interpretation)。TCSEC 将 安全 级 别 从 低 到 高 依次 划分 为 D 类 、C 类 、B 类 和 A 类 
4 个 安全 级 别 ， 每 类 又 包括 几 个 级 别 ， 如 表 4-1 所 示 。 


表 4-1 TCSEC 安全 等 级 标准 


类 别 | 级 别 | 名称 | 主要 特征 
D | pb | 低级 保护 没有 安全 保护 
自主 安全 保护 自主 存储 控制 
受 控 存储 介质 单独 的 可 查 性 ， 安 全 标识 
强制 存 取 控制 ， 安 全 标识 
B 面向 安全 的 体系 结构 ， 较 好 的 抗 渗透 能 力 
存 取 监控 ， 高 抗 渗透 能 力 


A 形式 化 的 最 高 级 摘 述 和 验证 


1. D 级 


D 级 是 该 标准 中 最 低 的 安全 级 别 ， 该 级 说 明 整 个 系统 是 不 可 信 的 。 换 名 话说， 拥有 这 
个 级 别 的 操作 系统 就 像 一 个 门户 大 开 的 房子 , 任何 人 都 可 以 自由 进出 ,是 完全 不 可 信任 的 。 
对 于 硬件 来 说 ， 没 有 任何 保护 作用 ; 对 于 操作 系统 来 说 ， 较 容易 受到 损害 ， 对 于 用 户 和 他 
们 存储 在 计算 机 上 的 信息 来 讲 ， 没 有 系统 访问 限制 和 数据 访问 限制 ， 任 何人 不 需要 账户 就 
可 以 进入 系统 ， 可 以 不 受 限 制 地 访问 他 人 的 数据 文件 。 
属于 该 安全 级 别 的 操作 系统 都 是 早期 的 操作 系统 ， 如 MS-DOS、Windows 98 和 Apple 
的 Macintosh System 7.X 等 。 这 些 操作 系统 不 区 分 用 户 , 并 且 没 有 定义 一 种 方法 来 决定 由 谁 
来 操作 ， 这 些 操作 系统 对 计算 机 硬盘 上 的 信息 都 可 以 访问 ， 而 没有 控制 。 

2. C 级 


C 级 安全 级 别 能 够 提供 审慎 的 保护 功能 , 并 具有 对 用 户 的 行为 和 责任 进行 审计 的 能 力 。 


NE 
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该 安全 级 别 又 由 Cl 和 C2 两 个 子安 全 级 别 共 同 组 成 。 

(1) Cl 级 

C1 安全 级 别 又 称 为 选择 性 安全 保护 (Discretionary Security Protection) 系 统 , 描述 了 一 个 
典型 的 用 在 Unix 系统 上 的 安全 级 别 。 

该 级 别 对 于 硬件 来 说 ， 存 在 某 种 程度 上 的 保护 ， 因 此 ， 不 那么 容易 受到 损害 。 如 用 户 
拥有 注册 账号 和 口令 ， 系 统 则 通过 该 账号 和 口令 来 识别 用 户 是 否 合法 ， 并 决定 用 户 对 程序 
和 信息 拥有 什么 样 的 访问 权 ， 但 硬件 受到 损害 的 可 能 性 仍然 存在 。 

用 户 拥有 的 访问 权 是 指 对 文件 和 目标 的 访问 权 。 文 件 的 拥有 者 和 超级 用 户 可 以 改变 文 
件 的 访问 属性 ， 从 而 对 不 同 的 用 户 授予 不 同 的 访问 权限 。 

(2) C2 级 

C2 级 除 C1 级 包含 的 特性 外 ,还 具有 访问 控制 环境 (Controlled Access Environment) 的 安 
全 特征 。 访 问 控制 环境 具有 进一步 限制 用 户 执行 某 些 命令 或 访问 某 些 文件 的 能 力 ， 这 不 仅 
仅 是 基于 许可 权限 ， 而 且 还 基于 身份 验证 级 别 。 这 种 级 别 要 求 对 系统 加 以 审核 ， 并 写 入 日 
志 中 ， 例 如 ， 用 户 何 时 开机 、 哪 个 用 户 在 何 时 何 地 登录 系统 等 。 通 过 查看 日 志 信息 ， 就 可 
以 发 现 入 侵 的 痕迹 ， 如 发 现 多 次 登录 失败 的 日 志 信息 ， 即 可 大 致 得 知 有 人 想 入 侵 系统 。 

另外 ,审核 用 来 跟踪 记录 所 有 与 安全 有 关 的 事件 ， 比 如 系统 管理 员 所 执行 的 操作 活动 ， 
审核 对 身份 的 验证 。 审 核 的 缺点 就 是 需要 额外 的 处 理 器 和 磁盘 空间 。 

使 用 附加 身份 验证 就 可 以 让 一 个 C2 级 系统 用 户 在 不 是 超级 用 户 的 情况 下 有 权 执 行 系 
统管 理 任 务 。 授 权 分 级 使 系统 管理 员 能 够 给 用 户 分 组 ， 授 予 他 们 访问 某 些 程序 的 权限 或 访 
问 特定 目录 的 权限 。 

能 够 达到 C2 级 别 的 常见 操作 系统 有 如 下 几 种 类 别 : 

@ Unix 系统 。 

@ Novell 3.X 或 者 更 高 版 本 。 

© Windows NT、Windows 2000 和 Windows Server 2003 。 


3 B 级 


B 类 安全 等 级 可 分 为 B1、B2 和 B3 三 个 子安 全 级 别 '。B 类 系统 具有 强制 性 保护 功能 ， 
强制 性 保护 意味 着 如 果 用 户 没 有 与 安全 等 级 相连 ， 系 统 就 不 会 允许 用 户 存 取 对 象 。 

(1) Bl 级 

Bl 级 也 称 标志 安全 保护 (Labeled Security Protection)， 是 支持 多 级 安全 (如 秘密 和 绝密 ) 
的 第 一 个 级 别 。 这 一 级 说 明 一 个 处 于 强制 性 访问 控制 之 下 的 对 象 ， 不 允许 文件 的 拥有 者 改 
变 其 许可 权限 。 

(2) B2 级 

B2 级 又 称 为 结构 保护 (Structures Protection) 级 别 , 要 求 计算 机 系统 中 的 所 有 对 象 都 要 加 
注 标 签 ， 而 且 还 要 给 设备 (如 磁盘 、 磁 带 等 ) 分 配 单个 或 多 个 安全 级 别 。 这 样 ， 就 构成 了 一 
个 由 较 高 安全 级 别 的 对 象 与 男 一 个 较 低 安全 级 别 的 对 象 通信 的 级 别 。 


1 安全 级 别 存 在 保密 、 绝 密级 别 ， 这 些 安全 级 别 的 计算 机 系统 一 般 用 于 政府 机 构 中 ， 比 如 国防 部 和 
国家 安全 局 的 计算 机 系统 。 


A 


i 


PF 


(3) B3 级 

B3 级 又 称 为 安全 域 (Security Domain) 级 别 ， 使 用 安装 硬件 的 方式 来 加 强 域 的 安全 。 例 
如 ， 安 装 内 存 管 理 硬件 ， 用 于 保护 安全 域 免 遭 无 授权 访问 或 更 改 其 他 安全 域 的 对 象 。 这 种 
级 别 也 要 求 用 户 的 终端 通过 一 条 可 信任 的 途径 连接 到 系统 上 (如 防火 墙 技 术 )。 

4.， A 人 级 


A 级 又 称 为 验证 设计 (Verified Desigm) 级 别 ， 是 当前 橙 皮 书 TCSEC 的 最 高 级 别 ， 包 含 
一 个 严格 的 设计 、 控 制 和 验证 过 程 。 该 级 别 包含 了 较 低 级 别 的 所 有 的 安全 特性 。 

安全 级 别 设计 必须 从 数学 角度 上 进行 验证 , 而 且 必须 进行 秘密 通道 和 可 信任 分 布 分 析 。 
可 信任 分 布 (Trusted Distribution) 的 含义 是 : 硬件 和 软件 在 物理 传输 过 程 中 受到 保护 ， 以 防 
止 破坏 安全 系统 。 

另外 ， 橙 皮 书 也 存在 不 足 。 

橙 皮 书 是 针对 孤立 计算 机 系统 的 ,特别 是 小 型 机 和 主机 系统 。 假设 有 一 定 的 物理 保障 ， 
该 标准 适合 政府 和 军队 ， 不 适合 企业 ， 这 个 模型 是 静态 的 。 


4.2.3 加拿大 评价 标准 


在 欧洲 研究 和 发 展 计算 机 安全 评估 标准 的 同时 ， 加 拿 大 也 开始 了 这 方面 的 研究 ，1988 
年 8 月 ,加 拿 大 系统 安全 中 心 (Canadian System Security Center，CSSC) 成 立 ， 主 要 任务 是 开 
发 能 满足 加 拿 大 政府 的 独特 要 求 的 标准 和 提高 加 拿 大 的 评估 计算 机 系统 安全 的 能 力 。 

最 早 的 加 拿 大 标准 “加 拿 大 可 信任 计算 机 产品 评估 标准 (Canadian Trusted Computer 
Product Evaluation Criteria，CTCPEC)” 于 1989 年 5 月 公布 ，1990 年 12 月 推出 了 2.0 版 本 ， 
1991 年 7 月 推出 了 2.1 版 本 ， 并 于 1993 年 推出 了 3.0 版 本 。CTCPEC 3.0 版 本 综合 了 欧洲 
ITSEC 和 美国 TCSEC 的 优点 。 

在 美国 发 表 TCSEC 之 后 , 欧洲 各 国 就 开始 对 信息 技术 的 安全 问题 进行 研究 , 并 且 发 表 
了 自己 的 信息 技术 安全 评价 标准 。1991 年 ， 由 德国 、 法 国 、 荷 兰 和 英国 共同 合作 并 发 表 了 

“信息 技术 安全 评价 标准 (Information Technology Security Evaluation Criteria，ITSEC)” 的 
共同 标准 。 

美国 的 TCSEC 主要 针对 的 是 多 用 户 大 型 机 和 小 的 操作 系统 。 而 对 于 数据 库 、 网络 和 子 
系统 等 ， 都 只 是 进行 解释 说 明 ， 例 如 可 信和 数据 库 解释 、 可 信和 网 络 解释 。 为 了 避免 使 用 解释 
条 款 ， 加 拿 大 标准 针对 的 目标 更 加 广泛 ， 包 括 大 型 机 、 多 处 理 系 统 、 数 据 库 、 嵌 入 式 系统 、 
分 布 式 系统 、 网 络 系统 和 面向 对 象 系统 等 。 

加 拿 大 的 安全 标准 对 开发 的 产品 或 评估 过 程 强调 功能 和 保证 两 个 部 分 。 

1， 功 能 (Functionality) 


功能 包括 保密 性 、 完 整 性 、 可 用 性 和 审核 4 个 方面 的 标准 。 这 4 个 标准 之 间 可 能 存在 
一 些 相互 依赖 关系 。 如 果 这 些 标准 在 不 同 服务 之 间 存 在 相互 依赖 关系 ,这 种 关系 称 为 约束 。 
2. 保证 (Assurance) 


保证 包含 保证 标准 ， 是 指 产 品 用 以 实现 组 织 的 安全 策略 的 可 信和 度 。 保 证 标准 评估 是 对 


ru 
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地 


整个 产品 进行 的 。 如 一 个 被 评 为 T-4 保 记 


准 的 要 求 。 
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E 级 别 的 标准 ， 它 所 提供 的 每 个 服务 都 能 达到 该 标 


CTCPEC 标准 制定 得 较为 细致 , 它 的 功能 标准 中 的 每 个 服务 都 具有 不 同 的 级 别 , 表 4-2 
列 出 了 它 的 不 同 标准 中 服务 的 级 别 。 


表 4-2 加 拿 大 CTCPEC 中 的 标识 和 级 别 
标 准 字母 符号 全 称 范 
Ge 转换 通道 (Convert Channels) CC0~ CC3 
保密 性 (Confidentiality) CD 任意 保密 性 (Discretionary Confidentiality) CD0 ~ CD4 
CM 强制 保密 性 (Mandatory Confidentiality) CM0 ~ CM4 
CR 对 象 重 用 (Object Reuse) CR0 ~ CRI1 
B 域 完整 性 (Domain Integrity) IB0 ~ IB2 
ID 任意 完整 性 (Discretionary Integrity) ID0 ~ ID4 
IM 强制 完整 性 (Mandatory Integrity) IMO ~ IM4 
完整 性 (Integrity) 了 物理 完整 性 (Physical Integrity) IP0~ IP4 
IR 回 深 (Rollback) IR0 ~ IR2 
IS 责任 分 离 (Separate Of Duties) ISO~IS3 
IT 自我 检测 (Self Testing) ITO~IT3 
AC 封装 (Containment) ACO0~AC3 
可 用 性 (Availability) AF 容 错 性 @ ault Tolerance) AF0 ~ AF3 
AR 健壮 度 (Robustness) AR0 ~ AR2 
AY 恢复 (Recovery) AY0~AY3 
WA 审计 (Audit) WA0O~WA5S 
可 审核 度 (Accountability) | WI 身份 认证 (Identification and Authentication) WI0 ~ WI3 
WT 信任 通道 (Trusted Path) WTO~ WTI3 
保证 度 下 保证 度 (Assurance) 017 


4.2.4 美国 联邦 标准 


1993 年 ， 美 国 国家 标准 和 技术 研究 所 (National Institute of Standard and Technology， 
NIST) 和 国家 安全 局 (National Security Agency，NSA) 联 邦 标准 (Federal Criteria，FC) 项 目 组 
联合 发 布 了 信息 技术 安全 联邦 标准 (Federal Criteria for Information Technology Security)。 


书 TCSEC， 成 为 新 的 联邦 信息 处 


这 个 标准 引入 了 保护 轮廓 (Protection Profiles) 的 概念 。 
保护 轮廓 是 以 通用 要 求 为 基础 创建 的 一 套 独特 的 IT 产品 安全 标准 。 它 是 关于 IT 产品 


安全 方面 的 抽象 描述 ， 但 却 独立 了 


保护 轮廓 需要 对 设计 、 实 现 和 使 用 卫 产品 的 要 求 进行 详细 说 明 。 


联邦 标准 综合 了 欧洲 的 ITSEC 和 加 拿 大 的 CTCPEC 的 优点 , 用 来 代替 原来 的 橙 皮 
理 标准 (Federal Information Processing Standard，FIPS)。 


FF 产品， 描述 了 符合 这 个 安全 需求 的 某 一 类 产品 。 另 外 ， 


ie 


PF 


芭 | 通常， 保护 轮廓 由 如 下 5 个 方面 构成 。 

全 1 描述 元 素 

党 | 描述 元 素 提供 明确 、 分 类 、 记 录 和 交叉 引用 等 描述 性 信息 。 描 述 性 的 说 明 要 闻 述 轮 廊 
名 的 特性 ， 以 及 要 解决 的 问题 


地 


2， 基本 原理 

基本 原理 部 分 提供 保护 轮廓 的 基本 定位 ， 包 括 威胁 、 环 境 和 使 用 假设 。 另 外 ， 基 本 原 
理 还 进一步 说 明 符合 这 个 要 求 的 一 个 IT 产品 要 解决 的 安全 问题 的 详细 特征 。 

3， 功能 要 求 

功能 要 求 部 分 用 来 建立 IT 产品 要 提供 的 信息 保护 范围 。 在 这 个 范围 之 内 对 信息 的 威胁 
必须 与 这 个 范围 之 内 的 保护 功能 相对 应 。 从 理论 上 讲 ， 威 肋 越 大 ， 保 护 功能 越 强 。 

4， 开发 保证 要 求 

开发 保证 要 求 部 分 包含 IT 产品 的 所 有 开发 阶段 ， 从 初始 的 产品 设计 到 实现 。 特 别 是 开 
发 保证 要 求 包含 开发 过 程 、 开 发 环境 和 操作 支持 环境 。 

另外 ， 由 于 多 数 的 开发 保证 要 求 是 随时 可 以 测试 的 ， 因 此 ， 必 须 检 查 产品 开发 的 证 据 
或 者 是 文档 ， 以 表明 保证 要 求 已 经 实现 ， 且 这 些 证 据 或 文档 需要 保留 ， 供 以 后 评估 使 用 。 

5， 评估 保证 部 分 

评估 保证 部 分 要 求 详细 说 明 对 某 一 产品 要 进行 怎样 的 评估 ， 包 括 评估 的 类 型 和 强度 ， 
通常 ， 评 估 的 类 型 和 强度 会 随 着 基本 原理 所 描述 的 预期 威胁 、 预 期 使 用 方法 和 假想 环境 的 
不 同 而 不 同 。 


4.2.5 共同 标准 

由 于 较 多 的 安全 标准 都 没有 得 到 广泛 的 承认 , 标准 化 组 织 于 1990 年 开始 着 力 于 研究 一 
个 共同 标准 。 直 到 1993 和 年， 德国、 法国、 荷兰、 英国、 加拿大 和 美国 这 6 个 国家 的 7 个 部 
门 联合 在 一 起 ， 才 将 他 们 的 标准 组 合成 一 个 单一 的 全 球 标准 ， 即 信息 技术 安全 评估 共同 标 
准 (Common Criteria for Information Technology Security Evaluation，CCITSE)， 通 常 称 为 共 
同 标准 (Common Criteria，CC)。 

1.， 绪论 和 总 体 模型 


绪论 和 总 体 模型 为 CC 的 第 一 部 分 ， 该 部 分 是 对 CC 的 介绍 。 它 定义 了 安全 评估 的 总 
体 概念 和 原则 ， 并 给 出 了 一 个 总 体 的 评估 模型 。 

另外 ， 第 一 部 分 给 出 描述 IT 安全 目标 、 选 择 和 定义 IT 安全 要 求 、 给 产品 和 系统 书写 
高 级 规范 的 结构 ， 还 说 明 CC 的 每 个 部 分 对 哪些 人 有 哪些 作用 。 

2， 安全 功能 要 求 

安全 功能 要 求 为 CC 的 第 二 部 分 ， 建 立 了 一 套 功能 要 求 组 件 ， 作 为 表达 评估 对 象 功能 


RE 
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要 求 的 标准 方法 。 
3. 安全 保证 要 求 


安全 保证 要 求 为 CC 的 第 三 部 分 ， 建 立 了 一 套 保证 组 件 ， 作 为 表达 评估 对 象 保证 要 求 
的 标准 方法 。 其 中 ， 也 给 出 了 已 经 定义 好 的 CC 评估 保证 级 别 (Evaluation Assurance Level， 
EAI)。 

CC 评估 保证 级 别 通常 有 7 个 保证 级 ， 即 EAL1 ~ EAL7。 

(1D) EAL1 保证 级 

EAL1 保证 级 为 最 低 的 保证 级 别 ， 它 对 开发 人 员 和 用 户 来 说 是 有 意义 的 。 

它 定义 了 最 小 程度 的 保证 ， 以 产品 安全 性 能 分 析 为 基础 ， 并 以 使 用 功能 和 接口 设计 来 
理解 安全 行为 。 

(2) EAL2 保证 级 

EAL2 保证 级 是 在 不 需要 强加 给 产品 开发 人 员 除 EAL1 要 求 的 任务 之 外 的 附加 任务 的 
情况 下 ， 可 授予 的 最 高 保证 级 别 。 它 执行 对 功能 和 接口 规范 的 分 析 以 及 对 产品 子 系统 的 高 
级 设计 检查 。 

(3) EAL3 保证 级 

EAL3 保证 级 是 一 种 中 间 的 独立 确定 的 安全 级 别 ， 就 是 说 ， 安 全 要 由 外 部 源 来 证 实 。 
该 级 别 允 许 设 计 阶 段 给 予 最 大 的 保证 ， 而 测试 过 程 中 几乎 不 加 修改 。 最 大 的 保证 是 指 在 设 
计时 已 经 考虑 到 了 安全 问题 ， 而 不 是 设计 完 之 后 再 实现 安全 性 ， 开 发 人 员 必 须 提供 测试 数 
据 ， 包 括 易 受 攻击 的 分 析 ， 并 有 选择 地 加 以 验证 。 

(4) EAL4 保证 级 

EAL4 保证 级 是 改进 已 有 生产 线 可 行 的 最 高 保证 级 别 。 它 向 用 户 提 供 了 最 高 的 安全 级 
别 ， 也 是 以 良好 的 商业 软件 开发 经 验 为 基础 的 。 除了 具有 EAL3 级 的 内 容 外 ，EAL4 还 包含 
对 产品 的 易 受 攻击 性 进行 独立 的 搜索 。 

(53) EALS 保证 级 

EALS 保证 级 对 现 有 的 产品 来 说 是 不 易 实现 的 ， 该 级 别 适用 于 那些 在 严格 的 开发 方法 
中 要 求 较 高 保证 级 别 的 开发 人 员 和 用 户 。 在 这 一 级 别 上 ， 开 发 人 员 也 必须 提出 设计 规范 和 
确定 如 何 从 功能 上 实现 这 些 规范 。 

(6) ”EAL6 保证 级 

EAL6 保证 级 包含 一 个 半 正 式 的 验证 设计 和 测试 组 件 , 并 包含 EAL5 级 的 所 有 内 容 ， 除 
此 之 外 ， 还 应 提出 实现 的 结构 化 表示 。 同 时 ， 产 品 要 经 受 高 级 的 设计 检查 ， 而 且 必须 保证 
具有 高 度 的 抗 攻击 性 能 。 

(7) EAL7 保证 级 

EAL7 保证 级 用 于 最 高 级 别 的 安全 应 用 程序 。EAL7 包含 完整 的 独立 的 和 正式 的 设计 、 
测试 和 验证 。 

4. 各 典型 标准 的 分 析 对 比 


各 典型 标准 的 分 析 对 比如 表 4-3 所 示 。 


计 

和 表 4.3 名 典型 标准 的 对 比 

的 ISO: CC 标准 中 国 : GB17859-1999 

安 | ”EAL1: 功能 测试 D: 低级 保护 

倪 EAL2: 结构 测试 Cl: 自主 安全 保护 -级 : 用 户 自主 保护 级 

侧 | _EAL3: 系统 测试 和 检查 C2: 受 控 存储 介质 二 级 ;系统 审计 保护 级 
EAL4， 系统 设计 、 测 试 和 复查 B1， 标识 的 安全 防护 ;三 级 ， 安 全 标记 保护 级 
EAL5: 半 形 式 化 设计 和 测试 B2: 结构 化 保护 第 四 级 ;结构 化 保护 级 
EAL6: 半 形 式 化 验证 的 设计 和 测试 第 五 级 : 访问 验证 保护 级 
EAL7: 形式 化 验证 的 设计 和 测试 A: 验证 设计 


4.3 信息 系统 安全 等 级 保护 的 应 用 


4.3.1 信息 系统 安全 等 级 保护 通用 技术 要 求 


通用 技术 要 求 共 分 6 个 部 分 ， 前 3 个 部 分 主要 介绍 了 通用 技术 要 求 的 应 用 范围 、 规 范 
性 引用 文件 ， 以 及 术语 和 定义 。 

第 4 部 分 是 安全 功能 技术 要 求 。 在 这 里 ， 对 计算 机 信息 系统 安全 功能 的 实现 进行 了 完 
整 的 描述 ， 并 对 实现 这 些 安全 功能 所 涉及 的 所 有 因素 做 了 较为 全 面 的 说 明 。 

安全 功能 包括 物理 安全 、 运 行 安全 和 信息 安全 三 个 方面 。 

@ ”物理 安全 : 物理 安全 也 称 实体 安全 ， 是 指 包 括 环境 设备 和 记录 介质 在 内 的 所 有 支 

持 信息 系统 运行 的 硬件 的 安全 ， 它 是 一 个 信息 系统 安全 运行 的 基础 。 计 算 机 网 络 
信息 系统 的 实体 安全 包括 环境 安全 、 设 备 安 全 和 介质 安全 。 

@ ”运行 安全 : 运行 安全 是 指 在 物理 安全 得 到 保障 的 前 提 下 ， 为 确保 计算 机 信息 系统 

不 间断 运行 而 采取 的 各 种 检测 、 监 控 、 审 计 、 分 析 、 备 份 及 容错 等 的 方法 和 措施 。 

@ 信息 安全 : 信息 安全 是 指 在 计算 机 信息 系统 运行 安全 得 到 保证 的 前 提 下 ， 对 在 计 

算 机 信息 系统 中 存储 、 传 输 和 处 理 的 信息 进行 有 效 的 保护 ， 使 其 不 因 人 为 的 或 自 
然 的 原因 被 泄露 、 自 改 和 破坏 。 

第 5 部 分 是 安全 保证 技术 要 求 。 为 了 确保 所 要 求 的 安全 功能 达到 所 确定 的 安全 目标 ， 
必须 从 TCB 自身 安全 保护 、TCB 设计 和 TCB 安全 管理 三 个 方面 保证 安全 功能 从 设计 、 实 
现 到 运行 管理 等 各 个 环节 严格 按照 所 规定 的 要 求 进行 。 

TCB 自身 安全 保护 是 指 : 一 方面 提供 与 TSF 机 制 的 完整 性 和 管理 有 关 的 保护 ， 另 一 方 
面 提供 与 TSF 数据 的 完整 性 有 关 的 保护 。 它 可 能 采用 与 对 用 户 数据 安全 保护 相同 的 安全 策 
略 和 机 制 ， 但 其 所 要 实现 的 目标 是 不 同 的 。 前 者 是 为 了 自身 更 健壮 ， 从 而 使 其 所 提供 的 安 
全 功能 更 有 保证 ;后 者 则 是 为 了 实现 其 直接 提供 的 安全 功能 。 

第 6 部 分 是 安全 保护 等 级 划分 要 求 。 安 全 功能 主要 说 明 一 个 计算 机 信息 系统 所 实现 的 
安全 策略 和 安全 机 制 符合 哪 一 等 级 的 功能 要 求 ; 安全 保证 则 是 通过 一 定 的 方法 保证 计算 机 
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信息 系统 所 提供 的 安全 功能 确实 达到 了 确定 的 功能 要 求 和 强度 安全 功能 要 求 从 物理 安全 、 
运行 安全 和 信息 安全 三 个 方面 ， 对 一 个 安全 的 计算 机 信息 系统 所 应 提供 的 与 安全 有 关 的 功 
能 进行 描述 。 安 全 保证 要 求 则 分 别 从 TCB 自身 安全 、TCB 的 设计 和 实现 ， 以 及 TCB 安全 
管理 三 个 方面 进行 描述 。 


4.3.2 ”信息 系统 安全 等 级 保护 网 络 技术 要 求 


网 络 技术 要 求 共 分 7 个 部 分 ， 前 3 个 部 分 主要 介绍 网 络 技术 要 求 的 应 用 范围 、 规 范 性 
引用 文件 ， 以 及 术语 和 定义 。 

第 4 部 分 是 概述 ， 主 要 描述 一 般 性 要 求 、 安 全 等 级 划分 、 主 体 和 客体 、TCB、 引 起 信 
息 流动 的 方式 、 密 码 技术 和 安全 网 络 系统 的 实现 方法 。 

第 5 部 分 是 网 络 的 基本 安全 技术 ， 在 这 里 ， 对 各 种 安全 要 素 的 策略 、 机 制 、 功 能 、 用 
户 属性 定义 、 安 全 管理 和 技术 要 求 等 做 具体 的 说 明 。 主 要 描述 自主 访问 控制 、 强 制 访问 控 
制 、 标 记 、 用 户 身份 鉴别 、 剩 余 信息 保护 、 安 全 审计 、 数 据 完整 性 、 隐 蔽 信道 分 析 、 可 信 
路 径 、 可 信 恢 复 、 抗 抵赖 和 密码 支持 等 内 容 。 

第 6 部 分 是 网 络 安全 技术 要 求 ， 主 要 从 对 网 络 系统 的 安全 等 级 进行 划分 的 角度 来 说 明 
不 同安 全 等 级 在 安全 功能 方面 的 特定 技术 要 求 。 

第 7 部 分 是 网 络 安全 等 级 保护 技术 要 求 ， 主 要 针对 七 层 网 络 体系 结构 中 的 每 一 层 ， 介 
绍 各 个 网 络 安全 等 级 的 具体 要 求 ， 以 及 每 个 等 级 中 对 各 个 安全 要 素 的 具体 要 求 。 同 时 ， 针 
对 每 个 安全 等 级 ， 介 绍 在 网 络 体系 结构 中 的 每 层 的 具体 要 求 ， 以 及 每 层 中 对 各 个 安全 要 素 
的 具体 要 求 。 

网 络 系统 安全 体系 结构 是 由 物理 层 、 链 路 层 、 网 络 层 、 传 输 层 、 会 话 层 、 表 示 层 以 及 
应 用 层 信息 系统 所 组 成 的 。 

根据 ISO/OSI 的 七 层 体系 结构 ， 网 络 安全 机 制 在 各 层 的 分 布 如 下 。 

(1) 物理 层 : 数据 流 加 密 机 制 。 

(2) 链 路 层 ， 数据 加 密 机 制 。 

(3) 网 络 层 ， 身 份 认证 机 制 、 访 问 控制 机 制 、 数 据 加 密 机 制 、 路 由 控制 机 制 、 一 致 性 
检查 机 制 。 

(4) 传输 层 : 身份 认证 机 制 、 访 问 控制 机 制 、 数 据 加 密 机 制 。 

(5) 会 话 层 : 身份 认证 机 制 、 访 问 控制 机 制 、 数 据 加 密 机 制 、 数 字 签 名 机 制 、 交 换 认 
证 ( 抗 抵赖 ) 机 制 。 

(6) 表示 层 : 身份 认证 机 制 、 访 问 控制 机 制 、 数 据 加 密 机 制 、 数 字 签名 机 制 、 交 换 认 
证 ( 抗 抵 赖 ) 机 制 。 

(7) 应 用 层 : 身份 认证 机 制 、 访 问 控制 机 制 、 数 据 加 密 机 制 、 数 字 签名 机 制 、 交 换 认 
证 ( 抗 抵赖 ) 机 制 、 业 务 流 分 析 机 制 。 


4.4 信息 安全 保证 技术 框架 (IATF) 


信息 保证 技术 框架 (Information Assurance Technical Framework，IATF) 把 信息 保证 技术 
划分 为 本 地 计算 环境 (Local Computing Environment)、 区 域 边界 (Enclave Boundaries)、 网 络 


PF 


未 和 基础 设施 (Networks & Infrastructures) 及 支撑 基础 设施 (Supporting Infrastructures)4 个 领域 ， 
加 并 给 出 了 一 种 实现 系统 安全 要 素 和 安全 服务 的 层次 结构 ， 如 图 4-1 所 示 。 
第 Enclave Boundaries Networks & Infrastructures 
女 [coonedEmeve | 
全 | Mp 
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Supporting Infrastructures: 
» Detect & Respond 
» Key Management Infrastructure/Public Key Infrastructure 


图 4-1 信息 安全 保证 技术 框架 (IATF) 

1. 本 地 计算 环境 

本 地 计算 环境 一 般 包 括 服务 器 、 客 户 端 及 其 上 面 的 应 用 、 操 作 系统 、 数 据 库 和 基于 主 
机 的 监控 组 件 等 。 

2. 区 域 边界 

区 域 是 指 在 单一 安全 策略 管理 下 ， 通 过 网 络 连接 起 来 的 计算 设备 的 集合 。 区 域 边界 是 
区 域 与 外 部 网 络 发 生 信息 交换 的 部 分 ， 它 应 确保 进入 的 信息 不 会 影响 区 域内 资源 的 安全 ， 
而 离开 的 信息 是 经 过 合法 授权 的 。 

边界 的 主要 作用 是 防止 外 来 攻击 ， 它 也 可 以 用 来 对 付 某 些 恶 意 的 内 部 人 员 ， 这 些 内 


部 人 员 有 可 能 利用 边界 环境 来 发 起 攻击 ， 并 通过 开放 后 门 /隐蔽 通道 等 ， 来 为 外 部 攻击 者 提 
供 方便 。 


3. 网 络 和 基础 设施 


网 络 和 基础 设施 在 区 域 之 间 提 供 连接 ， 包 括 在 网 络 节点 间 传递 信息 的 传输 部 件 ， 以 及 
其 他 重要 的 网 络 基础 设施 组 件 ， 如 网 络 管理 组 件 、 域 名 服务 器 及 目录 服务 组 件 等 。 


4. 支撑 基础 设施 


支撑 基础 设施 提供 了 一 个 IA 机 制 在 网 络 、 区 域 及 计算 环境 内 进行 安全 管理 、 提 供 安全 
服务 所 使 用 的 基础 。 主 要 为 终端 用 户 工作 站 、Web 服务 、 应 用 、 文 件 、DNS 服务 、 目 录 服 
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务 等 内 容 提供 安全 服务 。 
IATF 中 涉及 到 两 个 方面 的 支撑 基础 设施 : 一 个 是 KMIPKI; 另 一 个 是 检测 响应 基础 设 
施 。KMUPKI 提供 了 一 个 公 钥 证 书 及 传统 对 称 密 钥 的 产生 、 分 发 及 管理 的 统一 过 程 。 检 测 
及 响应 基础 设施 提供 对 入 侵 的 快速 检测 和 响应 ， 包 括 入 侵 检测 、 监 控 软 件 、CERT 等 。 
另外 ， 在 信息 保证 技术 框架 IATF) 下 ， 还 提出 了 深度 保卫 战略 的 概念 。 所 谓 深度 保卫 
战略 ， 是 指 保卫 网 络 和 基础 设施 、 保 卫 边界 、 保 卫 计 算 环境 和 保卫 支持 基础 设施 。 


本 章 小 结 


本 章 是 一 个 纯 理论 性 章节 ， 对 于 读者 来 说 ， 阅 读 起 来 不 需要 有 太 多 的 基础 。 希 望 通过 
对 本 章 的 学 习 ， 读 者 能 够 对 当前 几 种 典型 的 网 络 安全 标准 有 一 个 全 新 的 认识 和 了 解 ， 尤 其 
是 国内 评价 标准 GB17859-1999 与 共同 标准 CC 的 具体 内 容 及 各 等 级 的 标准 和 规范 。 除 此 之 
外 ， 对 于 信息 安全 等 级 保护 的 应 用 也 应 有 一 定 程度 的 了 解 。 


练习 。 思 考题 


1. 网 络 安全 标准 的 形成 经 过 了 哪些 阶段 ? 

2. 本 章 中 列举 了 几 种 典型 的 网 络 安全 评价 标准 ， 请 对 比分 析 这 些 评 价 标准 之 间 的 优势 
与 不 足 。 

3. 信息 安全 等 级 保护 有 哪些 要 求 ? 分 别 是 什么 ? 
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当今 世界 中 ， 以 信息 技术 为 首 的 高 科技 形成 了 一 股 前 所 未 有 的 科技 浪潮 ， 将 人 类 社会 
带 入 了 高 科技 网 络 时 代 。 爱 因 斯 坦 曾 用 一 段 话 来 提醒 人 们 重视 科学 技术 的 “ 双 刃 性 ”: 以 
前 几 代 的 人 给 了 我 们 高 度 发 展 的 科学 与 技术 ， 这 是 一 份 最 宝贵 的 礼物 ， 它 使 我 们 有 可 能 生 
活 得 比 以 前 无 论 哪 一 代 人 都 要 自由 和 美好 。 但 是 , 这 份 礼物 也 带 来 了 从 未 有 过 的 巨大 危险 ， 
它 威胁 着 我 们 的 生存 。 

事实 上 ， 任 何事 物 都 具有 两 面 性 ， 网 络 在 为 人 类 带 来 便捷 的 同时 ， 也 为 新 犯罪 形态 的 
演化 开辟 了 道路 。 


5.1 网 络 犯罪 概述 


随 着 网 络 的 日 益 普及 ， 计 算 机 网 络 的 安全 及 犯罪 也 日 渐 增 多 和 复杂 化 ， 犯 罪 分 子 在 因 
特 网 上 开辟 了 新 的 犯罪 平台 。 它 所 影响 层面 的 广度 与 深度 、 所 造成 的 危险 与 侵害 都 是 人 类 
社会 中 史无前例 的 。 网 络 犯罪 已 经 对 社会 构成 了 现实 的 威胁 ， 严 重 影响 因特网 的 发 展 ， 直 
接 危 及 国家 政治 、 经 济 、 文 化 等 各 方面 的 正常 秩序 ， 成 为 信息 时 代 最 大 的 隐患 。 

因此 ， 世 界 各 地 的 企业 和 政府 通过 各 种 方式 合作 ， 对 这 些 威 胁 做 出 如 下 响应 : 

@ 团体 组 织 的 形成 ， 如 信息 共享 和 分 析 中 心 。 

@ ”将 工业 门户 网 站 和 ISP 聚集 到 一 起 ， 处 理 分 布 式 拒绝 服务 攻击 ， 包 括 计 算 机 紧急 

响应 组 (CERT) 的 建立 。 

@ 更 多 人 使 用 公司 提供 的 复杂 工具 和 服务 去 处 理 网 络 漏洞 。 这 种 工具 和 服务 包括 私 

营 公司 安全 组 织 (Private Sector Security Organization，PSSO)， 例 如 SecurityFocus， 
Bugtraq 和 隶属 于 国际 商会 的 网 络 犯罪 部 门 (nternational Chamber of Commerce’s 
Cybercrime Unit) 。 

@ ”建立 一 种 类 似 于 美国 网 络 空间 国家 安全 战略 的 国家 战略 ， 将 来 自 所 有 国家 的 关键 

基础 设施 网 络 以 及 欧洲 理事 会 网 络 犯罪 公约 综合 起 来 。 


52 网 络 犯 罪 


美国 国家 基础 设施 保护 中 心 (NIPC) 的 主管 曾 说 : “网 络 犯罪 总 会 对 电子 商务 和 公众 造 
成 极 大 的 威胁 。” 

利用 因特网 进行 犯罪 的 威胁 是 真实 的 、 不 断 增长 的 , 并 且 很 可 能 是 21 世纪 问题 的 根源 。 
网 络 犯罪 同 其 他 任何 犯罪 一 样 (除了 非法 活动 必须 涉及 计算 机 系统 外 )， 它 既 可 以 针对 人 ， 
也 可 以 针对 设备 ， 或 者 针对 犯罪 证 据 。 它 是 指 行为 人 运用 计算 机 技术 ， 借 助 于 网 络 对 系统 
或 信息 进行 攻击 、 破 坏 ， 或 利用 网 络 进行 其 他 犯罪 的 总 称 。 既 包括 行为 人 运用 编程 、 加 密 、 
解码 技术 或 工具 在 网 络 上 实施 的 犯罪 ,也 包括 行为 人 利用 软件 指令 、 网 络 系统 或 产品 加 密 
等 技术 及 法 律 规 定 上 的 漏洞 在 网 络 内 外 交互 实施 的 犯罪 ， 还 包括 行为 人 借助 于 其 网 络 服务 
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提供 者 的 特定 地 位 或 其 他 方法 在 网 络 系统 中 实施 的 犯罪 。 简 而 言 之 ， 网 络 犯罪 是 针对 和 利 
用 网 络 进行 的 犯罪 ， 网 络 犯罪 的 本 质 特 征 是 危害 网 络 及 信息 的 安全 与 秩序 。 


海 也 


络 犯罪 公 


| 


正如 


能 准确 地 区 分 某 种 网 络 行为 是 否 为 网 络 犯罪 ， 网 络 犯罪 国际 公约 和 欧洲 理事 会 网 
约 已 经 将 这 些 犯 罪 的 清单 概况 列举 如 下 : 

非法 访问 信息 。 

非法 截获 信息 。 

非法 使 用 电信 设备 。 

伪造 使 用 计算 机 的 方法 。 

入 侵 公共 交换 分 组 网 络 。 

网 络 完整 性 的 违反 。 

隐私 性 的 违反 。 

工业 间谍 。 

盗用 计算 机 软件 。 

欺骗 使 用 计算 机 系统 。 

因特网 /电子 邮件 滥用 。 

使 用 计算 机 或 计算 机 技术 实施 犯罪 、 恐 怖 、 色 情 和 黑客 入 侵 。 


实施 网 络 犯 罪 的 方法 
前 面 对 网 络 犯罪 概念 的 概述 ， 对 于 任何 网 络 犯罪 ， 都 必须 在 得 到 计算 机 资源 的 帮 


助 下 才能 实施 ， 据 此 ， 网 络 犯罪 以 两 种 方式 实施 : 渗透 和 拒绝 服务 攻击 。 
1， 渗透 


网 络 


渗透 是 攻击 者 常用 的 一 种 攻击 手段 ， 也 是 一 种 综合 的 高 级 攻击 技术 ， 同 时 ， 网 络 


渗透 也 是 安全 工作 者 所 研究 的 一 个 课题 ， 通 常 称 为 “渗透 测试 (Penetration Test)”。 


无 论 


是 网 络 渗透 (Network Penetration) 还 是 渗透 测试 ， 实 际 上 所 指 的 都 是 同一 内 容 ， 就 


是 研究 如 何 一 步 步 地 攻击 入 侵 某 个 大 型 网 络 主机 服务 器 群 组 。 只 不 过 从 实施 的 角度 上 看 ， 
前 者 是 攻击 者 的 恶意 行为 ， 而 后 者 则 是 安全 工作 者 模拟 入 侵 攻击 测试 ， 进 而 寻找 最 佳 安全 
防护 方案 的 正当 手段 。 


网 络 


渗透 攻击 与 普通 网 络 攻击 的 不 同 之 处 在 于 ， 普 通 的 网 络 攻击 只 是 单一 类 型 的 攻击 。 


例如 ， 在 普通 的 网 络 攻击 事件 中 ， 攻 击 者 可 能 仅仅 是 利用 目标 网 络 的 Web 服务 器 漏洞 ， 入 
侵 网 站 更 改 网 页 ， 或 者 在 网 页 上 挂 马 。 也 就 是 说 ， 这 种 攻击 是 随机 的 ， 而 其 目的 也 是 单一 而 
简单 的 。 网 络 渗透 攻击 则 与 此 不 同 ， 它 是 一 种 系统 渐进 型 的 综合 攻击 方式 ， 其 攻击 目标 是 明 
确 的 ， 攻 击 目的 往往 不 那么 单一 ， 危 害 性 非常 严重 。 再 如 ， 攻 击 者 会 有 针对 性 地 对 某 个 目标 


是 


FE 常 系 


网 络 


攻 刘 


和 者 利 


网 络 进行 攻击 ， 以 获取 其 内 部 的 商业 资料 、 进 行 网络 破 坏 等 。 因此， 攻击 者 实施 攻击 的 步 又 


统 的 ,假设 获取 了 目标 网 络 中 网 站 服务 器 的 权限 , 则 不 会 仅 满足 于 控制 此 台 服 务 器 ， 


而 是 会 利用 此 台 服 务 器 ， 继 续 入 侵 目标 网 络 ， 获 取 整 个 网 络 中 所 有 主机 的 权限 。 


渗透 攻击 之 所 以 能 够 成 功 , 是 因为 网 络 上 总 会 有 一 些 或 大 或 小 的 安全 缺陷 或 漏洞 。 
这 些小 缺口 ， 一 步 一 步 地 将 这 些 缺口 扩大 、 扩 大 、 再 扩大 ， 最 终 导致 整个 网 络 


安全 防线 的 失守 ， 并 掌控 整个 网 络 的 权限 。 因 此 ， 作 为 网 络 管理 员 ， 完 全 有 必要 了 解 甚至 


A 


算 | 掌握 网 络 渗透 入 侵 的 技术 ， 这 样 才能 有 针对 性 地 进行 防御 ， 从 而 保障 网 络 的 真正 安全 。 
机 为 了 实现 渗透 攻击 ， 攻 击 者 采用 的 攻击 方式 绝 不 仅 限 于 简单 的 Web 脚本 漏洞 攻击 。 攻 
击 者 会 综合 运用 远程 溢出 、 木 马 攻 击 、 密 码 破 解 、 嗅 探 、ARP 欺骗 等 多 种 攻击 方式 ， 逐 步 
安 | 控制 网 络 。 
全 
基 


去 总 地 来 说 ， 与 普通 网 络 攻击 相 比 ， 网 络 渗透 攻击 具有 几 个 特性 : 攻击 目的 的 明确 性 、 
而 | 攻击 步骤 的 渐进 性 、 攻 击 手段 的 多 样 性 和 综合 性 。 


2. 拒绝 服务 攻击 (Denial of Service) 


拒绝 服务 攻击 ! 即 攻击 者 想 办 法 让 目标 机 器 停止 提供 服务 ， 是 黑客 常用 的 攻击 手段 之 
一 。 其 实 ， 对 网 络 带 宽 进 行 的 消耗 性 攻击 只 是 拒绝 服务 攻击 的 一 小 部 分 ， 只 要 能 够 给 目标 
造成 麻烦 ， 使 某 些 服务 被 暂停 甚至 主机 死机 ， 都 属于 拒绝 服务 攻击 。 拒 绝 服务 攻击 问题 也 
一 直 得 不 到 合理 的 解决 ， 究 其 原因 ， 是 因为 这 是 由 于 网 络 协议 本 身 的 安全 缺陷 造成 的 ， 从 
而 拒绝 服务 攻击 也 成 为 攻击 者 的 终极 手法 。 攻 击 者 进行 拒绝 服务 攻击 ， 实 际 上 让 服务 器 实 
现 两 种 效果 : 一 是 迫使 服务 器 的 缓冲 区 满 ， 不 能 接收 新 的 请 求 ， 二 是 使 用 了 P 欺骗 ， 迫 使 服 
务 器 把 合法 用 户 的 连接 复位 ， 影 响 合法 用 户 的 连接 。 

(1) SYN 泛 洪 攻击 (SYN Flood) 

SYN Flood 是 当前 最 流行 的 DoS( 拒 绝 服务 攻击 ) 与 DDoS( 分 布 式 拒绝 服务 攻击 ) 的 方式 
之 一 ， 这 是 一 种 利用 TCP 协议 缺陷 ， 发 送 大 量 伪造 的 TCP 连接 请 求 ， 使 被 攻击 方 资源 耗 尽 
(CPU 满 负荷 或 内 存 不 足 ) 的 攻击 方式 。 

SYN Flood 攻击 的 过 程 ,在 TCP 协议 中 被 称 为 三 次 握手 *(Three-way Handshake), 而 SYN 
Flood 拒绝 服务 攻击 就 是 通过 三 次 握手 而 实现 的 。 

SYN 泛 洪 攻击 的 具体 原理 是 : TCP 连接 的 三 次 握手 中 ,假设 一 个 用 户 向 服务 器 发 送 了 
SYN 报 文 后 突然 死机 或 掉 线 ， 那 么 ， 服 务 器 在 发 出 SYN+ACK 应 答 报 文 后 ， 是 无 法 收 到 客 
户 端的 ACK 报 文 的 (第 三 次 握手 无 法 完成 )， 这 种 情况 下 ， 服 务 器 端 一 般 会 重 试 (再 次 发 送 
SYN+ACK 给 客户 端 ) 并 等 待 一 段 时 间 后 丢弃 这 个 未 完成 的 连接 。 这 段 时 间 的 长 度 ， 我 们 称 
为 SYN Timeout， 一 般 来 说 ， 这 个 时 间 是 分 钟 的 数量 级 (大 约 为 30 秒 到 2 分 钟 )。 一 个 用 户 
出 现 异常 ， 导 致 服务 器 的 一 个 线程 等 待 1 分 钟 ， 并 不 是 什么 很 大 的 问题 ， 但 如 果 有 一 个 恶 
意 的 攻击 者 大 量 模拟 这 种 情况 (伪造 IP 地 址 )， 服 务 器 端 将 为 了 维护 一 个 非常 大 的 连接 列表 
而 消耗 非常 多 的 资源 。 即 使 是 简单 的 保存 并 遍历 ， 也 会 消耗 非常 多 的 CPU 时 间 和 内 存 ， 何 
况 还 要 不 断 地 对 这 个 列表 中 的 卫 进行 SYN+ACK 的 重 试 。 实 际 上 ， 如 果 服 务 器 的 TCP/IP 
栈 不 够 强大 ， 最 后 的 结果 往往 是 堆栈 溢出 崩溃 一 一 即使 服务 器 端的 系统 足够 强大 ， 服 务 器 
端 也 将 忙于 处 理 攻击 者 伪造 的 TCP 连接 请 求 ， 而 无 暇 理 皮 客户 的 正常 请 求 (毕竟 客户 端的 
正常 请 求 比率 非常 小 )， 此 时 ， 从 正常 客户 的 角度 来 看 ， 服 务 器 失去 响应 ， 这 种 情况 就 称 作 
“服务 器 端 受到 了 SYN Flood 攻击 ”(SYN 泛 洪 攻击 )。 


1 本 节 所 涉及 内 容 要 求 掌握 TCP、UDP 首部 结构 才能 阅读 ， 所 以 读者 在 阅读 之 前 ， 应 当先 了 解 一 下 
TCP 和 UDP 的 首部 结构 。 
2 TCP 三 次 握手 连接 的 过 程 见 第 1 章 TCP/IP 体系 结构 一 节 ， 示 意图 详 见 第 3 章 的 安全 威胁 来 源 。 
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(2) 了 P 坎 骗 性 攻击 

IP 欺骗 性 攻击 利用 RST 位 来 实现 。 假 设 有 一 个 合法 用 户 (61.61.61.61) 已 经 同 服务 器 建 
立 了 正常 的 连接 ， 攻 击 者 构造 攻击 的 TCP 数据 ， 伪 装 自己 的 IP 为 61.61.61.61， 并 向 服务 
器 发 送 一 个 带 有 RST 位 的 TCP 数 据 段 。 服 务 器 接收 到 这 样 的 数据 后 ， 认 为 从 61.61.61.61 
发 送 的 连接 有 错误 , 就 会 清空 缓冲 区 中 已 经 建立 好 的 连接 。 这 时 , 如 果 合法 用 户 61.61.61.61 
再 发 送 合法 数据 ， 服 务 器 就 已 经 没有 这 样 的 连接 了 ， 该 用 户 就 必须 重新 开始 建立 连接 。 攻 
击 时 ， 攻 击 者 会 伪造 大 量 的 卫 地 址 ， 向 目标 发 送 RST 数据 ， 使 服务 器 不 对 合法 用 户 服务 ， 
从 而 实现 了 对 受害 服务 器 的 拒绝 服务 攻击 。 

(3) UDP 洪水 攻击 

在 UDP 洪水 攻击 方式 中 ， 攻 击 者 利用 简单 的 TCP/IP 服 务 ， 如 Chargen 和 Echo 来 传送 
毫 无 用 处 的 占 满 带宽 的 数据 。 通 过 伪造 与 某 一 主机 的 Chargen 服务 之 间 的 一 次 的 UDP 连接 ， 
回复 地 址 指向 开 着 Echo 服务 的 一 台 主 机 , 这 样 就 生成 了 在 两 台 主机 之 间 存 在 的 很 多 无 用 数 
据 流 ， 这 些 无 用 数据 流 就 会 导致 带宽 的 服务 受到 攻击 。 

(4) 死亡 之 Ping 

由 于 在 早期 的 阶段 , 路 由 器 对 包 的 最 大 尺寸 都 有 限制 。 许多 操作 系统 对 TCP/IP 栈 的 实 
现 , 在 ICMP 包 上 都 是 规定 为 64KB， 并 且 在 对 包 的 标题 头 进行 读 取 后 ， 要 根据 该 标题 头 里 
包含 的 信息 来 为 有 效 载荷 生成 缓冲 区 。 当 产生 畸形 的 ， 声 称 自己 的 尺寸 超过 ICMP 上 限 的 
包 , 也 就 是 加 载 的 尺寸 超过 64KB 上 限时 , 就 会 出 现 内 存 分 配 错误 , 导致 TCP/IP 堆栈 崩溃 ， 
致使 接受 方 死 机 。 

(5) Teardrop 攻击 

泪 滴 (Teardrop) 攻 击 是 利用 在 TCP/IP 堆栈 中 实现 信任 王 碎片 中 的 包 的 标题 头 所 包含 的 
信息 来 实现 自己 的 攻击 。IP 分 段 含有 指明 该 分 段 所 包含 的 是 原 包 中 哪 一 段 的 信息 ， 某 些 
TCP/IP 在 收 到 含有 重合 偏 移 的 伪造 分 段 时 将 崩溃 。 

(6) Land 攻击 

Land 攻击 的 原理 : 是 用 一 个 特别 打造 的 SYN 包 ， 它 的 源 地 址 和 目标 地 址 都 被 设置 成 
某 一 个 服务 器 地 址 ， 这 将 导致 接受 服务 器 向 它 自 己 的 地 址 发 送 SYN-ACK 消息 ， 结 果 这 个 
地 址 又 发 回 ACK 消息 ， 并 创建 一 个 空 连接 。 被 攻击 的 服务 器 每 接收 一 个 这 样 的 连接 ， 都 将 
保留 ， 直 到 超时 。 设 备 对 Land 攻击 的 反应 各 有 不 同 ， 许 多 Unix 实现 将 骨 溃 ， 而 NT 会 变 
得 极其 缓慢 (大 约 持续 5 分 钟 )。 

(7) Smurf 攻击 

一 个 简单 的 Smurf 攻击 的 原理 ， 就 是 通过 将 回复 地 址 设置 成 受害 网 络 的 广播 地 址 的 
ICMP 应 答 请 求 (Ping) 数 据 包 来 淹没 受害 主机 的 方式 进行 ， 最 终 导 致 该 网 络 的 所 有 主机 都 对 
此 ICMP 应 答 请 求 做 出 答复 ， 导 致 网 络 阻塞 。 它 比 Ping of Death 洪 水 的 流量 高 出 1 或 2 个 
数量 级 。 更 加 复杂 的 Smurf 将 源 地 址 改 为 第 三 方 的 受害 者 ， 最 终 会 导致 第 三 方 衣 溃 。 

(8) Fraggle 攻击 
原理 : Fraggle 攻击 实际 上 就 是 对 Smurf 攻击 做 了 简单 的 修改 ， 使 用 的 是 UDP 应 答 消 
息 ， 而 非 ICMP。 

(9) 序列 号 嗅 探 

在 这 种 攻击 中 ， 入 侵 者 可 以 预测 在 TCP 实现 中 所 使 用 的 序列 号 ,然后 攻击 者 利用 嗅 探 


二 村 


PF 


算 | 到 的 下 一 个 序列 号 建立 合法 性 连接 。 

机 (10) 缓冲 区 溢出 

凡 这 是 攻击 者 精心 选择 的 一 种 泛 洪 方法 ， 如 使 用 多 于 可 能 容纳 字符 的 地 址 字段 做 攻击 。 
安 | 这 些 过 多 的 字符 在 恶意 情况 下 ， 实 际 上 是 可 执行 代码 ， 攻 击 者 可 以 用 来 执行 ， 从 而 导致 系 
全 统 的 毁灭 ， 或 者 控制 系统 。 因 为 即使 系统 知识 不 多 的 人 ， 都 可 以 使 用 这 种 类 型 的 攻击 。 缓 
础 | 冲 区 溢出 目前 已 成 为 最 严重 的 一 类 安全 威胁 。 


DDoS 攻击 的 动机 : 发 起 DDoS 的 攻击 者 与 希望 从 攻击 中 获取 利益 的 渗透 攻击 的 攻击 
者 不 同 ， 他 们 纯粹 是 对 系统 做 破坏 和 捣乱 。 正 如 前 面 指 出 的 那样 ， 由 于 这 些 攻击 不 会 渗透 
到 系统 中 ， 除 了 拒绝 服务 外 ， 不 影响 资源 的 完整 性 。 这 就 意味 着 攻击 者 不 是 期 望 从 攻击 中 
获得 更 多 资料 ， 这 一 点 与 渗透 攻击 不 同 。 正 因为 如 此 ， 大 多 数 DDoS 攻击 的 产生 都 带 有 特 
殊 的 目的 ， 其 中 可 能 是 : 

@ ”阻止 其 他 人 使 用 网 络 连接 ， 这 种 攻击 如 Smurf、UDP 和 Ping 泛 洪 攻击 等 。 

@ ”使 用 如 Land、Teardrop、Bonk、Boink、SYN 泛 洪 和 Ping of Death 等 攻击 ， 严 重 

地 损害 或 禁用 一 台 主 机 或 它 的 瑟 栈 ， 以 阻止 其 他 人 使 用 主机 或 服务 。 
@ ”个 人 想 要 证 明 其 通晓 计算 机 的 能 力 ， 也 就 是 想 要 证 明 其 能 力 以 便 获得 公众 认可 。 


5.2.2 网络 犯 罪 的 特点 


与 传统 的 犯罪 相 比 ， 网 络 犯罪 具有 一 些 独 特 的 特点 。 

(1) 成 本 低 、 传 播 迅 速 ， 传 播 范围 广 。 就 电子 邮件 而 言 ， 它 比 起 传统 寄 信 和 所 花 的 成 本 
少 得 多 (尤其 是 寄 到 国外 的 邮件 )。 由 于 网 络 的 发 展 ， 现 在 只 要 敲 一 下 键盘 ， 几 秒 种 就 可 以 
把 电子 邮件 发 给 众多 的 人 。 从 理论 上 而 言 ， 接 收 者 可 以 是 全 世界 的 人 。 

(2) 互动 性 、 隐 蔽 性 高 ， 取 证 困难 。 网 络 发 展 形成 了 一 个 虚拟 的 电脑 空间 ， 既 消除 了 
国境 线 ， 也 打破 了 社会 和 空间 界限 ， 使 得 双向 性 、 多 向 性 交流 传播 成 为 可 能 。 在 这 个 虚拟 
空间 里 ， 对 所 有 事物 的 描述 都 仅仅 是 一 堆 冷 冰冰 的 密码 数据 ， 因 此 ， 谁 掌握 了 密码 ， 就 等 
于 获得 了 对 财产 等 权利 的 控制 权 ， 就 可 以 在 任何 地 方 登录 网 站 。 

(3) 严重 的 社会 危害 性 。 随 着 计算 机 信息 技术 的 不 断 发 展 ， 从 国防 、 电 力 到 银行 和 电 
话 系 统 等 ， 都 已 数字 化 、 网 络 化 ， 一 旦 这 些 部 门 遭 到 入 侵 和 破坏 ， 后 果 将 不 堪 设 想 。 

(4) 网 络 犯罪 是 典型 的 计算 机 犯罪 。 网 络 犯罪 比较 常见 的 是 偷窥 、 复 制 、 更 改 或 者 删 
除 计算 机 数据 、 信 息 的 犯罪 。 散 布 破坏 性 病毒 、 逻 辑 炸弹 或 者 放置 后 门 程序 ， 就 是 典型 的 以 
计算 机 为 对 象 的 犯罪 ,而 网 络 色情 传播 犯罪 ,网络 侮 辱 、 诽 谤 和 您 吓 犯 罪 以 及 网 络 诈骗 、 教 
唆 等 犯罪 ， 则 是 以 计算 机 网 络 形成 的 虚拟 空间 作为 犯罪 工具 和 犯罪 场所 的 。 


5.2.3 网络 犯 罪 者 


谁 是 网 络 犯罪 者 ? 显而易见 ， 可 以 是 网 络 空间 信息 的 普通 使 用 者 。 随 着 用 户 数 的 膨胀 ， 
其 中 的 罪犯 数量 也 会 随 之 快速 增长 。 很 多 研究 表明 ， 下 列 群体 很 可 能 就 是 网 络 犯罪 之 源 。 


1.， 黑客 
黑客 实际 上 是 了 解 很 多 计算 机 知识 和 计算 机 网 络 知识 ， 并 将 这 种 知识 用 于 犯罪 目的 的 
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计算 机 爱好 者 。 随 着 20 世纪 80 年 代 以 后 因特网 的 普及 ， 计 算 机 黑客 的 数量 一 直 处 于 有 增 
无 减 的 状态 。 


2. 犯罪 团体 


不 同 的 网 络 犯 罪 往往 具有 不 同 的 犯罪 动机 。 例 如 ， 具 有 黑客 能 力 的 犯罪 团伙 突破 防线 
进入 信用 卡 公 司 ， 盗 窃 数 千 信 用 卡 账 号 ， 现 实 中 的 犯罪 团体 依据 网 络 的 发 展 ， 会 演变 出 更 
多 的 网 络 诈骗 等 网 络 犯罪 行为 。 

3. 经 济 间谍 

网 络 空间 和 电子 商务 的 增长 及 全 球 化 ， 已 经 成 为 犯罪 团伙 犯罪 的 新 来 源 ， 有 组 织 的 经 
济 间谍 在 网 络 上 搜寻 各 大 公司 的 秘密 。 随 着 原 发 性 研发 成 本 的 碳 升 ， 市 场 经 济 的 全 球 化 带 
来 了 全 球 化 的 市 场 竞争 ， 世 界 各 地 的 公司 都 在 为 获取 商业 、 市 场 和 公司 秘密 做 好 准备 ， 以 
进一步 牟取 暴利 。 


4 心怀 不 满 的 前 雇员 


许多 研究 已 经 显示 ， 因 为 很 多 劳资 纠纷 而 被 迫 离开 的 前 雇员 ， 往 往 对 先前 工作 的 企业 
或 公司 心怀 不 满 ， 为 此 ， 经 常 将 前 雇主 作为 攻击 对 象 ， 由 此 而 引发 进一步 的 网 络 犯罪 。 通 
常 ， 这 些 前 雇员 对 前 雇主 的 机 密 信息 都 有 些许 接触 和 了 解 ， 在 一 定 程度 上 给 其 网 络 犯罪 带 
来 了 便利 ， 而 这 些 前 雇员 会 利用 先前 掌握 的 系统 知识 攻击 前 雇主 ， 并 从 中 牟取 暴利 。 


5. 内 部 人 员 


长 期 以 来 ， 系 统 攻击 仅 限 于 室内 雇员 对 系统 的 攻击 以 及 公司 财产 的 盗窃 。 实 际 上 ， 心 
怀 不 满 的 内 部 人 员 是 网 络 犯罪 的 主要 根源 ， 因 为 他 们 不 需要 了 解 很 多 有 关 受 害 者 计算 机 系 
统 的 知识 。 在 许多 情况 下 ， 他 们 每 天 都 在 使 用 系统 ， 这 就 可 以 为 他 们 任何 时 候 不 受 限 制 地 
访问 系统 提供 便利 ， 这 样 ， 就 很 容易 造成 对 系统 或 数据 的 损害 。1999 年 的 计算 机 安全 协会 
(Computer Security Institute)/FBI 报 告 中 曾 指出 ， 有 55% 的 受 访 者 报告 恶意 行为 是 内 部 人 员 
所 为 。 因 此 ， 对 于 内 部 员工 ， 特 别 是 掌握 核心 机 密 的 内 部 员工 ， 公 司 必须 给 予 足够 的 重视 
和 监督 ， 否 则 ， 将 会 给 公司 带 来 难以 想象 的 损害 。 


5.3 黑 客 


5.3.1 什么 是 黑客 


1.， 黑客 历史 

黑客 一 词 ， 其 实 是 Hacker 的 音译 ， 源 自 于 动词 Hack， 其 引申 义 是 指 “ 干 了 一 件 非常 
漂亮 的 事 儿 ”， 也 可 理解 为 那些 精 于 某 方面 技术 的 人 。 对 于 计算 机 而 言 ， 黑 客 就 是 精通 网 
络 、 系 统 、 外 设 及 软 硬 件 技术 的 人 。 黑 客 的 存在 ， 是 由 于 计算 机 技术 的 不 健全 ， 从 某 种 意 
义 上 讲 ， 计 算 机 的 安全 却 需要 更 多 黑客 去 维护 。 


黑客 的 出 现 ， 最 早 开始 于 20 世纪 50 年 代 ， 最 早 的 计算 机 于 1946 年 在 宾夕法尼亚 大 学 
全 诞生 ， 而 最 早 的 黑客 出 现 于 麻 省 理工 学 院 ， 贝 尔 实验 室 也 有 。 最 初 的 黑客 一 般 都 是 一 些 高 
络 | 级 的 技术 人 员 ， 他 们 热衷 于 挑战 、 崇 尚 自由 ， 并 主张 信息 共享 。 

x 但 到 了 今天 ， 黑 客 一 词 已 被 泛 指 那些 专门 利用 计算 机 搞 破坏 或 恶作剧 的 人 ， 对 这 些 人 
基 | 的 正确 叫 法 是 Cracker， 即 骇 客 。 从 下 面 10 个 著名 的 黑客 事件 案例 可 以 看 出 ， 正 是 由 于 入 
侧 | 食 者 的 出 现 ， 下 污 了 黑客 的 荣誉 ， 才 使 得 人 们 对 黑客 和 入 侵 者 混为一谈 。 现 在， 大 多 数 人 
认为 黑客 就 是 在 网 络 上 到 处 搞 破 坏 的 人 。 

(1) 1971 年 ， 一 个 越战 退伍 兵 John Draper， 又 被 称 为 嘎 叶 船 长 (Captain Crunch)， 进 一 
步 实践 了 口哨 玩笑 ， 发 现 通过 在 孩子 们 用 的 一 种 饼干 盒 里 发 出 哨 声 ， 可 以 制造 出 精确 的 音 
频 输入 话 简 ， 让 电话 系统 开启 线路 ， 从 而 可 以 借 此 进行 免费 的 长 途 通话 。 整 个 20 世纪 70 
年 代 ，Draper 因 盗 用 电话 线路 而 多 次 被 捕 。 

(2) 1988 年 ， 经 验 丰 富 的 黑客 Kevin Mitnick 秘密 监控 负责 MCI 和 数字 设备 安全 的 政 
府 官员 的 往来 电子 邮件 .Kevin Mitnick 因 破 坏 计算 机 和 盗 取 软件 被 判 入 狱 一 年 ,原因 是 DEC 
指控 他 从 公司 网 络 上 盗 取 了 价值 100 万 美元 的 软件 ， 并 造成 了 400 万 美元 的 损失 。 

(3) 1995 年 ,来自 俄罗斯 的 黑客 蔷 拉 季 米 尔 。 列 宁 在 互联 网 上 上 演 了 精彩 的 “ 偷 天 换 
日 ”， 他 侵入 美国 花旗 银行 ， 并 盗 走 了 1000 万 美金 ， 随 后 即 在 英国 被 国际 刑警 逮捕 。 他 是 
历史 上 第 一 个 通过 入 侵 银行 电脑 系统 来 获 利 的 黑客 。 

(4) 1999 年 ， 梅 丽 莎 (Mellisa) 病 毒 使 世界 上 300 多 家 公司 的 电脑 系统 崩溃 ， 该 病毒 造 
成 的 损失 接近 4 亿美 金 ， 它 是 首 个 具有 全 球 破坏 力 的 病毒 ， 该 病毒 的 编写 者 戴 维 。 史 密斯 
被 判处 5 年 有 期 徒刑 。 

(5) 2000 年 ， 年 仅 15 岁 ， 绰 号 “黑手 党 男孩 ”的 黑客 在 2000 年 2 月 6 日 到 2 月 14 
日 情人 节 期 间 成 功 入 侵 包 括 Yahoo!、eBay 在 内 的 大 型 网 站 服务 器 , 阻止 了 服务 器 向 用 户 提 
供 服务 ， 于 同年 被 捕 。 

(6) 2008 年 ， 一 个 全 球 性 的 黑客 组 织 ， 利 用 ATM 欺诈 程序 ， 在 一 夜 之 间 ， 从 世界 49 
个 城市 的 银行 中 盗 走 了 900 万 美元 。 

(7) 2009 年 7 月 7 日 ， 韩 国 遭 受 了 有 史 以 来 最 猛烈 的 一 次 攻击 。 韩 国 总 统 府 、 国 会 、 
国情 院 和 国防 部 等 国家 机 关 ， 以 及 金融 界 、 媒 体 和 防火 墙 企业 网 站 受到 了 攻击 。 两 天 后 ， 
韩国 国家 情报 院 和 国民 银行 的 网 站 无 法 被 访问 ， 韩 国 国会 、 国 防 部 、 外 交通 商 部 等 机 构 的 
网 站 一 度 无 法 打开 ， 这 是 韩国 遭受 的 有 史 以 来 最 强 的 一 次 黑客 攻击 。 

(8) 2010 年 1 月 12 日 上 午 7 点 钟 开始 ， 全 球 最 大 的 中 文 搜索 引擎 “百度 ” 遭 到 了 黑 
客 攻 击 ， 使 其 长 时 间 无 法 正常 访问 。 主 要 表现 为 跳 转 到 一 个 雅虎 出 错 页 面 、 出 现 伊朗 网 军 
图 片 及 出 现 “ 天 外 符号 ”等 ， 范 围 涉 及 四 川 、 福 建 、 江 苏 、 吉 林 、 浙 江 、 北 京 、 广 东 等 国 
内 绝 大 部 分 省 市 ， 这 是 百度 遭遇 的 持续 性 时 间 最 长 、 影 响 最 严重 的 黑客 攻击 。 

(9) 2012 年 9 月 14 日 ， 中 国 黑客 成 功 进入 日 本 最 高 法 院 官方 网 站 ， 并 在 其 网 站 上 发 
布 了 有 关 的 图 片 和 文字 。 该 网 站 一 度 无 法 访问 。 

(10) 2013 年 3 月 11 日 , 国家 互联 网 应 急 中 心 (CNCERT) 的 最 新 数据 显示 ， 中 国 遭 受 境 
外 网 络 攻击 的 情况 日 趋 严重 。CNCERT 抽样 监测 发 现 ，2013 年 1 月 1 日 至 2 月 28 日 不 足 


是 
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60 天 的 时 间 里 ， 境 外 6747 台 木 马 或 僵尸 网 络 控制 服务 器 控制 了 中 国境 内 190 多 万 台 主 机 。 
其 中 ， 位 于 美国 的 2194 台 控制 服务 器 控制 了 中 国境 内 128.7 万 台 主 机 ， 无 论 是 按照 控制 服 
务 器 数量 还 是 按照 控制 中 国 主机 数量 排名 ， 美 国都 名 列 第 一 。 

由 此 我 们 可 以 看 出 ， 随 着 网 络 的 普及 与 发 展 ， 计 算 机 攻击 事件 急剧 上 升 。 

这 种 现象 的 增长 ， 主 要 是 由 两 种 因素 所 导致 : 因特网 的 疯狂 增长 和 大 规模 新 的 病毒 事 
件 的 覆盖 面 的 扩大 。 


2. 著名 黑客 


世界 著名 的 黑客 主要 有 Kevin Mitnick、Adrian Lamo、Jonathan James、Robert Tappan 
Morris， 如 图 5-1 所 示 ， 分 别 介绍 如 下 。 


eC 
\ 
\ 


Kevin Mitnick Adrian Lamo Jonathan James Robert Tappan Morris 


5-1 世界 上 的 著名 黑客 


(1) Kevin Mitnick: 第 一 位 被 列 入 FBI 通缉 犯 名 单 的 骇 客 ， 有 人 评论 他 为 世界 上 “ 头 
号 电脑 黑客 ”， 他 已 经 成 为 黑客 的 同义词 。 

(2) Adrian Lamo: 历史 上 五 大 著名 黑客 之 一 。Lamo 专门 找 大 的 组 织 下 手 ， 例 如 破解 
进入 微软 和 《纽约 时 报 》。Lamo 喜欢 使 用 咖啡 店 、Kinko 店 或 者 图 书馆 的 网 络 来 进行 他 的 
黑客 行为 ， 因 此 得 了 一 个 这 号 : 不 回 家 的 黑客 。Lamo 经 常 发 现 安全 漏洞 ， 并 加 以 利用 。 通 
常 ， 他 会 告知 企业 相关 的 漏洞 。 

(3) Jonathan James: 在 16 岁 时 ，James 成 为 第 一 名 因为 黑客 行为 而 被 送 入 监狱 的 未 成 
年 人 ， 并 因此 恶名 远 播 ， 兽 入 侵 过 很 多 著名 组 织 ,包括 美国 国防 部 下 设 的 国防 威胁 降低 局 。 
通过 黑客 行动 ， 他 可 以 捕获 用 户 名 和 密码 ， 并 浏览 高 度 机 密 的 电子 邮件 。James 还 曾 入 侵 
过 美国 宇航 局 的 计算 机 。 

(4) Robert Tappan Morris: 英里 斯 蠕虫 的 制造 者 ， 这 是 首 个 通过 互联 网 传播 的 里 4 
目的 仅仅 是 探究 互联 网 有 多 大 ， 但 导致 约 有 6000 台 计 算 机 遭 到 破坏 。 


5.3.2 黑客 类 型 


从 不 同 的 角度 出 发 ， 黑 客 的 分 类 也 不 尽 一 样 。 

第 一 种 分 类 将 黑客 分 为 破坏 者 、 红 客 和 间谍 。 

@ ”破坏 者 : 以 破坏 为 主 的 黑客 。 

@ ” 红 客 : 维护 国家 利益 ， 代 表 本 国人 民意 志 ， 他 们 热爱 自己 的 祖国 、 民 族 、 和 平 ， 
积极 维护 国家 的 安全 与 尊严 。 

@ ”间谍 : 属于 雇佣 兵 类 型 ， 专 门 为 了 利益 去 做 一 些 破坏 或 窃取 信息 的 事情 。 


让 


算 第 二 类 分 类 则 是 将 黑客 分 为 白 帽 黑客 、 灰 帽 黑 客 和 黑 帽 黑客 。 

加 ee 白 帽 黑客 : 是 创新 者 ， 研 究 漏洞 ， 发 明和 追求 最 先进 的 技术 ， 并 将 结果 共享 。 
络 e@ 。 灰 帽 黑客 : 是 破解 者 ， 介 于 白 帆 黑客 和 黑 帆 黑客 之 间 。 他 们 追求 网 络 信息 公 开 ， 
不 搞 破坏 ， 但 是 要 进入 别人 的 网 站 查看 信息 。 
基 


@ 黑 帽 黑客 : 是 破坏 者 ， 以 破坏 和 入 侵 窃 取信 息 为 目的 。 


5.3.3 ”黑客 拓扑 结构 


前 面 已 经 指出 ， 黑 客 通常 是 非常 了 解 计算 机 和 计算 机 网 络 工作 原理 的 计算 机 爱好 者 ， 
他 们 运用 所 学 知识 ， 策 划 针对 系统 的 攻击 。 成 熟 的 黑客 会 预先 策划 好 攻击 ， 但 不 会 影响 到 
未 标记 的 系统 成 员 。 为 了 达到 这 种 精度 ， 通 常 需要 使 用 指定 的 拓扑 攻击 模式 。 依 据 这 些 拓 
扑 ， 黑 客 就 可 以 在 众多 的 网 络 主机 、 局 域 网 的 子 网 或 全 局 网 络 中 选择 目标 受害 主机 。 具 体 
的 攻击 模式 、 拓 扑 会 受到 以 下 因素 和 网 络 配 置 的 影响 。 
@ ”设备 的 可 用 性 : 如 果 受 害 者 仅 是 一 台 主机 ， 这 就 会 显得 尤为 重要 。 攻 击 的 时 候 ， 
必须 保证 仅 针 对 这 一 台 主 机 ， 而 不 会 影响 其 他 主机 。 和 否则 ， 攻 击 就 不 能 进行 。 
e@。 因特网 接 入 可 用 性 : 如 上 所 述 ， 选 择 的 受害 者 主机 或 网 络 必须 是 可 达 的 。 
@ ”网 络 环境 : 攻击 时 往往 要 根据 受害 主机 或 子 网 或 全 网 所 在 的 环境 ， 小 心 隔离 目标 
单位 ， 以 便 不 至 于 影响 到 其 他 主机 。 
e@ ”安全 范围 :在 针对 系统 进行 攻击 时 ， 黑 客 往往 会 事先 确定 攻击 的 安全 范围 ， 以 便 
攻击 时 不 会 被 发 现 。 
综 上 所 述 ， 选 择 的 攻击 模式 主要 是 根据 受害 类 型 、 动 机 、 位 置 、 分 发 方法 等 确定 的 。 
主要 存在 以 下 4 种 模式 。 


本 一 对 一 


这 种 黑客 攻击 从 某 个 攻击 者 发 起 ， 目 标 针对 一 个 已 知 的 受害 者 。 这 种 攻击 是 已 知 的 攻 
击 ， 攻 击 者 知道 甚至 熟悉 受害 者 ， 有 时 ， 受 害 者 可 能 也 知道 攻击 者 (如 图 5-2 所 示 )。 


Pp 


ss 二 轩 
攻击 计算 机 受害 计算 机 服务 器 


图 5-2 一 对 一 的 拓扑 结构 
2， 一 对 多 


这 种 攻击 是 匿名 的 。 大 多 数 情况 下 ， 攻 击 者 不 知道 受害 者 。 此 外 ， 在 所 有 情况 下 ， 他 
们 对 受害 者 来 讲 也 是 匿名 的 。 这 种 攻击 技术 在 最 近 几 年 兴起 ， 是 最 容易 实现 的 攻击 方式 之 
一 (如 图 5-3 所 示 )。 


3， 多 对 一 


到 目前 为 止 ， 这 种 攻击 还 很 少 ， 但 随 着 DDoS 攻击 在 黑客 团体 中 再 次 受 宠 ， 多 对 一 的 
攻击 又 重新 出 现 了 生机 。 在 这 种 攻击 中 ， 攻 击 者 通过 使 用 一 台 主 机 欺骗 其 他 主机 ， 即 二 手 


NE 
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害 者 ， 然 后 ， 用 其 作为 雪崩 效应 攻击 的 新 来 源 。 


受害 
_ 一 量 … 


受害 计算 机 服务 器 


区 


攻击 计算 机 
害 计 算 机 


5-3 一 对 多 的 拓扑 结构 
这 些 类 型 的 攻击 需要 高 度 协调 , 在 选择 二 次 受害 者 时 , 也 需要 一 个 非常 好 的 选择 过 程 ， 
然后 是 最 终 的 受害 者 (如 图 5-4 所 示 )。 


攻击 计算 机 
a 
BB 之 
攻击 计算 机 受害 计算 机 服务 器 
攻击 计算 机 


5-4 多 对 一 的 拓扑 结构 


4. 多 对 多 

过 去 使 用 这 种 拓扑 攻击 模式 的 很 少 ， 但 最 近 有 关 报告 指出 ， 使 用 这 种 攻击 模式 的 越 来 
越 多 (如 图 5-5 所 示 )。 例 如 在 某 些 DDoS 攻击 案例 中 , 就 有 被 攻击 者 选 作 二 手 受害 者 的 一 组 
站 点 的 情况 ， 然 后 这 些 站 点 常常 被 用 来 “攻击 ”所 选择 的 受害 组 。 


受害 计算 机 
攻击 计算 机 


受害 计算 机 服务 器 


攻击 计算 机 


攻击 计算 机 


5-5 多 对 多 的 拓扑 结构 


在 每 一 组 中 ， 涉 及 的 数目 变化 很 大 ， 可 以 从 几 个 到 几 千 个 变化 。 就 像 多 对 一 的 攻击 一 
机 | 样 ， 攻 击 者 采用 这 种 攻击 模式 时 ， 需 要 很 好 地 理解 网 络 基础 设施 ， 需 通过 精心 的 选择 ， 找 
到 合适 的 二 手 受害 者 ， 并 选择 最 终 的 受害 者 群体 。 


5.3.4 ”黑客 的 系统 攻击 工具 


而 前 面 已 经 讨论 过 黑客 攻击 系统 的 两 种 类 型 ， DDoS 和 渗透 。 在 DDoS 中 ， 已 经 讨论 过 
各 种 方法 拒绝 对 系统 资源 的 访问 ， 下 面 将 阐述 系统 渗透 攻击 中 最 广泛 使 用 的 方法 。 系 统 渗 
透 是 黑客 攻击 最 广泛 使 用 的 方式 ， 一 旦 渗透 进入 系统 ， 黑 客 就 会 有 更 多 的 选择 ， 其 攻击 工 
具 包 括 病 毒 、 蠕 虫 和 网 络 嗅 探 器 的 使 用 。 


1.， 病毒 
计算 机 病毒 是 指 编制 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ， 影 响 计 


算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 具 有 破坏 性 、 复 制 性 和 传染 
性 。 黑 客 常常 使 用 各 种 类 型 的 病毒 作为 攻击 工具 。 


2， 蠕虫 


蠕虫 非常 像 病 毒 ， 它 们 之 间 的 差别 很 小 ， 都 是 自动 地 攻击 ， 都 具有 破坏 性 、 复 制 性 和 
传染 性 。 但 两 者 之 间 的 主要 区 别 ， 在 于 病毒 总 能 以 代理 形式 隐藏 到 软件 中 ， 而 蠕虫 却 是 独 


立 的 程序 或 代码 。 

3. 网 络 嗅 探 器 

嗅 探 器 是 一 种 监视 网 络 数据 运行 的 软件 或 设备 , 其 协议 分 析 器 既 能 用 于 合法 网 络 管理 ， 
也 能 用 于 窃取 网 络 信息 。 


网 络 运作 和 维护 都 可 以 采用 协议 分 析 器 ， 如 监视 网 络 流量 、 分 析 数 据 包 、 监 视 网 络 资 
源 利用 、 执 行 网 络 安全 操作 规则 、 鉴 定 分 析 网 络 数据 以 及 诊断 并 修复 网 络 问题 等 。 

而 非法 嗅 探 器 会 严重 威胁 网 络 的 安全 性 ， 这 是 因为 它 容易 随处 插入 ， 所 以 网 络 黑客 常 
将 它 作为 攻击 武器 。 


5.3.5 黑客 常用 的 攻击 手段 


黑客 攻击 手段 可 分 为 非 破 坏 性 攻击 和 破坏 性 攻击 两 类 。 非 破坏 性 攻击 一 般 是 为 了 扰乱 
系统 的 运行 ， 并 不 盗窃 系统 资料 ， 通 常 采 用 拒绝 服务 攻击 或 信息 炸弹 ; 破坏 性 攻击 是 以 侵 
入 他 人 电脑 系统 、 盗 窃 系 统 保密 信息 、 破 坏 目标 系统 的 数据 为 目的 的 。 下 面 为 读者 介绍 黑 
客 常用 的 几 种 攻击 手段 。 


1. 后 门 程序 

由 于 程序 员 设 计 一 些 功 能 复杂 的 程序 时 ， 一 般 采 用 模块 化 的 程序 设计 思想 ， 将 整个 项 
目 分 制 为 多 个 功能 模块 ， 分 别 进行 设计 、 调 试 ， 这 时 的 后 门 就 是 一 个 模块 的 秘密 入 口 。 在 
程序 开发 阶段 ， 后 门 便于 测试 、 更 改 和 增强 模块 功能 。 正 常情 况 下 ， 完 成 设计 之 后 需要 去 
掉 各 个 模块 的 后 门 , 不 过 , 有 时 由 于 朴 忽 或 者 其 他 原因 (如 将 其 留 在 程序 中 , 便于 日 后 访问 、 


NE 
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测试 或 维护 )， 后 门 没有 去 掉 ， 一 些 别有用心 的 人 会 利用 穷 举 搜索 法 发 现 并 利用 这 些 后 门 ， 
然后 进入 系统 ， 并 发 动 攻击 。 


2. 信息 炸弹 


信息 炸弹 是 指使 用 一 些 特殊 的 工具 软件 ， 短 时 间 内 向 目标 服务 器 发 送 大 量 超出 系统 负 
荷 的 信息 ， 造 成 目标 服务 器 超 负荷 、 网 络 堵塞 、 系 统 崩 省 的 攻击 手段 。 比 如 向 未 打 补 丁 的 
Windows 95 系统 发 送 特定 组 合 的 UDP 数据 包 ， 会 导致 目标 系统 死机 或 重启 ， 向 某 型 号 的 
路 由 器 发 送 特定 数据 包 致使 路 由 器 死机 ， 向 某 人 的 电子 邮件 发 送 大 量 的 垃圾 邮件 ， 将 此 邮 
箱 “ 撑 爆 ” 等 。 目 前 常见 的 信息 炸弹 有 邮件 炸弹 、 逻 辑 炸 弹 等 。 

3. 拒绝 服务 

拒绝 服务 又 叫 分 布 式 拒绝 服务 攻击 (DDoS)， 在 前 面 “ 网 络 犯罪 ”内 容 中 已 经 详 述 ， 这 
里 就 不 再 做 详细 说 明了 。 

4. 网 络 监 

网 络 监听 是 一 种 监视 网 络 状态 、 数 据 流 以 及 网 络 上 传输 信息 的 管理 工具 ， 它 可 以 将 网 
络 接口 设置 成 监听 模式 ， 并 且 可 以 截获 网 上 传输 的 信息 。 也 就 是 说 ， 当 黑客 登录 网 络 主机 
并 取得 超级 用 户 权限 后 ， 若 要 登录 其 他 主机 ， 使 用 网 络 监听 ， 可 以 有 效 地 截获 网 上 的 数据 ， 


这 是 黑客 使 用 最 多 的 方法 。 但 是 ， 网 络 监听 只 能 应 用 于 物理 上 连接 于 同一 网 段 的 主机 ， 通 
常 被 用 于 获取 用 户 的 口令 。 


5. 密码 破解 
密码 破解 也 是 黑客 常用 的 攻击 手段 之 一 。 


5.3.6 ”黑客 攻击 五 步 曲 


一 次 成 功 的 网 络 攻击 , 可 以 归纳 为 基本 的 5 个 步 
又 ， 也 就 是 人 们 常 说 的 “黑客 攻击 五 步 曲 ”， 有 具体 步 
骤 和 顺序 可 根据 实际 情况 调整 (如 图 5-6 所 示 )。 


1， 隐藏 IP 


当 黑 客 找到 主机 /服务 器 的 系统 缺陷 后 ， 会 对 其 
进行 试探 性 的 攻击 ， 此 时 ， 黑 客 面 对 的 可 能 是 缺乏 经 
验 的 计算 机 用 户 ， 也 可 能 是 隐藏 的 网 络 安全 专家 ,也 
许 是 对 方 设置 的 一 个 网 络 陷阱 。 所 以 ， 对 于 经 验 丰富 
的 黑客 , 他们 会 在 攻击 时 非常 小 心 , 使 用 各 种 方法 来 
隐藏 自己 ， 尽 量 不 与 攻击 目标 接触 ， 以 免 暴 露 自己 。 图 5-6 黑客 攻击 五 步 曲 


2. 信息 收集 


通俗 地 讲 ， 信 息 收 集 称 为 “踩点 ”， 就 是 通过 各 种 途径 ， 对 所 要 攻击 的 目标 进行 多 方 
面 的 了 解 。 


PF 


计 
| 3. 实施 攻击 
网 得 到 攻击 目标 的 管理 员 权 限 ， 连 接 到 自己 的 远程 计算 机 ， 通 过 对 该 计算 机 的 控制 ， 达 
灾 | 到 攻击 的 目的 。 
齐 4， 保持 访问 
仙 为 了 保持 长 时 间 的 对 目标 的 访问 权限 ， 在 已 经 攻破 的 计算 机 上 种 植 一 些 便于 自己 下 次 
访问 的 后 门 。 
5， 隐藏 踪迹 
在 成 功 地 攻击 目标 后 ， 一 般 来 说 ， 攻 击 目标 的 计算 机 上 已 经 留 下 了 攻击 时 的 相关 日 志 


记录 ， 这 样 就 很 容易 被 管理 员 发 现 。 因 此 ， 在 攻击 完成 后 ， 要 及 时 清除 相关 的 日 志 记 录 。 


5.3.7 黑客 行为 的 发 展 趋势 

黑客 的 行为 有 7 个 方面 的 发 展 趋势 ， 具 体 如 下 。 

1， 手段 高 明 化 

黑客 界 已 经 意识 到 单 靠 一 个 人 力量 远 远 不 够 ， 因 此 逐步 形成 团体 ， 利 用 网 络 进行 交流 
和 进行 团体 攻击 ， 也 互相 交流 经 验 和 分 享 自己 写 的 工具 。 

2. 活动 频繁 化 

做 一 个 黑客 已 经 不 再 需要 掌握 大 量 的 计算 机 和 网 络 知识 , 只 要 学 会 使 用 几 个 黑客 工具 ， 
就 可 以 在 互联 网 上 进行 攻击 活动 ， 黑 客 工具 的 大 众 化 是 黑客 活动 频繁 的 主要 原因 。 

3， 动机 复杂 化 

黑客 的 动机 目前 已 经 不 再 局 限于 为 了 国家 、 金 钱 和 刺激 ， 已 经 与 国际 的 政治 变化 、 经 
济 变化 紧密 地 结合 在 一 起 。 

4， 黑客 年 轻 化 

基于 互联 网 的 普及 ， 形 成 了 全 球 一 体 化 的 格局 ， 就 连 偏远 山区 的 中 小 学 生 也 可 以 从 网 
络 上 接触 到 世界 各 地 形形色色 的 信息 资源 了 ， 这 使 得 黑客 正 朝 着 年 轻 化 的 方向 发 展 。 

5 黑客 的 破坏 力 扩大 化 


随 着 互联 网 的 普及 ， 电 子 商务 的 莲 勃 发 展 ， 社 会 对 互联 网 的 依赖 性 日 益 增加 ， 网 络 黑 
客 的 破坏 力也 随 之 扩大 。 仅 在 美国 ， 黑 客 每 年 造成 的 经 济 损失 就 超过 100 亿美 元 。 可 想 而 
知 每 年 全 球 因为 黑客 攻击 遭受 的 损失 会 有 多 少 了 。 


6.， 黑客 技术 的 迅速 普及 化 


黑客 组 织 的 形成 和 傻瓜 式 攻击 工具 的 大 量 出 现 ,导致 的 一 个 直接 后 果 , 就 是 黑客 技术 的 
普及 。 在 因特网 上 , 可 供 黑客 之 间 交 流 的 站 点 比比 皆 是 , 随意 地 百度 一 下 , 就 能 找到 一 大 堆 。 


ED 


第 5 章 ， 网 络 犯罪 与 黑客 @@ 


这 些 黑客 站 点 上 面 提供 黑客 攻击 工具 ， 公 布 系统 漏洞 ， 公 开 传 授 黑 客 攻击 技术 ,提供 各 
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黑客 知识 、 系 统 软 件 的 源码 。 这 些 因素 ， 在 很 大 程度 上 推动 了 黑客 技术 的 普及 , 吸引 了 更 
多 的 人 参与 其 中 。 


黑客 组 织 化 、 团 体 化 


随 着 人 们 网 络 安全 意识 的 增强 、 计 算 机 产品 安全 性 能 的 提高 ， 软 件 系统 漏洞 越 来 越 难 


现 ， 单 个 黑客 想 要 对 某 个 攻击 目标 造成 破坏 也 变 得 越 来 越 困 难 。 由 于 利益 的 驱使 ， 曾 经 


技术 。 


发 
的 单一 上 
下 

种 因素 ， 


虹 客 也 在 逐渐 寻找 “盟友 ”， 开 始 组 团 作战 ， 相 应 地 自己 也 能 从 中 学 到 一 些 新 的 攻 
群体 性 的 黑客 攻击 往往 对 目标 造成 的 损害 更 大 ， 其 攻击 的 成 功率 也 更 高 。 以 上 种 
就 造成 了 黑客 攻击 的 组 织 化 、 团 体 化 。 


5.4 不 断 上 升 的 网 络 犯罪 的 应 对 处 理 


通过 查阅 资料 不 难 发 现 ， 大 多 数 的 系统 攻击 ， 往 往 是 在 经 验 丰富 的 专家 还 没完 全 了 解 
之 前 发 生 的 。 而 随 着 因特网 的 普及 、 电 子 商务 的 兴起 ， 网 络 犯罪 朝 着 多 样 化 、 快 速 化 、 扩 
大 化 、 严 重 化 、 国 际 化 的 方向 发 展 ， 也 给 执法 部 门 处 理 网 络 犯罪 增加 了 难度 。 为 此 ， 有 必 
要 制定 一 个 有 效 的 计划 ， 来 遏制 网 络 犯罪 快速 上 升 的 势头 。 一 个 有 效 的 计划 必须 由 三 个 方 


面 组 成 : 
本 


防御 、 检 测 、 分 析 和 响应 。 
防御 


防御 或 许 是 最 好 的 系统 安全 策略 ， 但 是 ， 仅 限于 我 们 知道 如 何 进 行 防御 、 要 防御 什么 
才 行 。 无 论 过 去 、 现 在 或 者 将 来 ， 对 于 能 够 预测 下 一 次 将 会 发 生 什么 样 的 攻击 ， 这 一 直 都 
是 安全 部 门 的 一 项 艰巨 的 任务 。 尽 管 防御 是 系统 安全 的 最 佳 途径 ， 系 统 安全 的 将 来 不 能 并 


且 也 不 和 


仅仅 依靠 几 个 安全 专家 来 猜测 ， 因 为 他 们 有 时 候 也 会 判断 错误 。 尽 管 这 项 任务 繁 


重 ， 但 我 们 仍然 要 不 断 追 踪 ， 尽 可 能 跑 到 黑客 的 前 面 。 可 以 考虑 采取 下 列 安全 措施 : 


2. 


安全 策略 。 
风险 管理 。 
边界 安全 。 
加 密 。 

立法 。 

自我 约束 。 
安全 教育 普及 。 


检测 


万 一 防御 策略 失败 ， 系 统 的 安全 就 依赖 于 检测 。 因 此 ， 我 们 应 利用 防火 墙 系统 具有 的 
入 侵 检测 技术 及 系统 扫描 工具 , 配合 其 他 专项 监测 软件 ， 建 立 访问 控制 子 系统 (ACS)， 实 现 
网 络 系统 的 入 侵 监测 及 日 志 记 录 审 核 ， 以 便 及 时 发 现 透 过 ACS 的 入 侵 行为 。 
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恢复 


在 安全 防御 策略 指导 下 ， 通 过 动态 调整 访问 控制 系统 的 控制 规则 ， 发 现 并 及 时 截断 可 


je 


PF 


Bk 
EE 


洪 惟 燥 淮 一 


Ea 


疑 链接 、 杜 绝 可 疑 后 门 和 漏洞 ， 启 动 相关 的 报警 信息 ; 在 多 种 备份 机 制 的 基础 上 ， 启 用 应 
急 响 应 恢复 机 制 ， 实 现 系统 的 瞬时 还 原 ; 进行 现场 恢复 及 攻击 行为 的 再 现 ， 供 研究 和 取证 ; 
实现 异 构 存 储 ， 异 构 环境 的 高 速 、 可 靠 备份 。 


本 章 小 结 


本 章 主要 介绍 了 网 络 犯罪 与 黑客 的 基本 知识 。 其 中 针对 网 络 犯罪 ， 从 其 基本 概念 、 实 
施 的 方法 、 特 点 等 几 个 方面 进行 了 阐述 。 对 于 黑客 ， 则 从 其 发 展 历 史 、 分 类 、 攻 击 拓扑 结 
构 、 常 用 的 攻击 工具 与 攻击 手段 、 攻 击 步骤 及 其 发 展 趋势 等 几 个 方面 进行 了 描述 。 希 望 通 
过 本 章 的 学 习 ， 读 者 能 够 对 网 络 犯罪 的 概念 、 实 施 网 络 犯罪 的 方法 、 网 络 犯罪 的 特点 、 常 
见 的 拒绝 服务 攻击 类 型 、 黑 客 的 基本 定义 、 黑 客 的 类 型 、 常 用 的 系统 攻击 工具 、 常 用 的 攻 
击 手段 、 攻 击 步骤 及 发 展 趋势 有 一 个 全 新 的 了 解 。 此 外 ， 有 兴趣 的 读者 还 可 以 自行 查阅 有 
关 资 料 ， 了 解 一 些 常 用 的 网 络 犯罪 应 对 措施 。 


练习 。 思 考题 


1. 为 什么 说 黑客 是 系统 安全 的 最 大 威胁 ? 
2. 对 付 黑客 的 最 佳 方法 是 什么 ? 
3. 网 络 犯罪 等 于 黑客 行为 吗 ? 为 什么 ? 
4. 有 人 说 “计算 机 犯罪 不 同 于 网 络 犯罪 ”。 请 查阅 有 关 资 料 ， 说 说 你 的 观点 。 如 有 不 
请 说 明 二 者 之 间 的 异同 。 
5. 在 当前 形势 下 ， 网 络 犯罪 与 黑客 活动 日 益 独 狼 ， 请 查阅 有 关 资 料 ， 给 出 一 种 你 认为 
合理 的 应 对 措施 ， 并 说 明理 由 。 

6. 内 部 滥用 是 主要 的 犯罪 类 型 。 请 查阅 有 关 资 料 ， 讨 论 解决 的 办 法 ， 并 据 此 写 一 篇 不 
少 于 1000 字 的 论文 报告 。 
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第 6 章 恶意 脚本 


6.1 脚本 的 概述 


脚本 (Script) 是 使 用 一 种 特定 的 描述 性 语言 ， 依 据 一 定 的 格式 编写 的 可 执行 文件 ， 又 称 
作 宏 或 批 处 理 文件 。 脚 本 通常 可 以 由 应 用 程序 临时 调用 并 执行 。 各 类 脚本 目前 被 广泛 地 应 
用 于 网 页 设计 中 。 脚 本 不 仅 可 以 减 小 网 页 的 规模 和 提高 网 页 浏览 速度 ， 而 且 可 以 丰富 网 页 
的 表现 ， 如 动画 、 声 音 等 。 事 实 上 ， 脚 本 语言 不 仅 可 以 编写 网 页 的 程序 ， 连 一 些 特定 的 计 
算 机 应 用 程序 也 可 以 使 用 脚本 语言 来 编写 。 

下 面 我 们 通过 几 个 简单 的 程序 ， 来 更 充分 地 介绍 脚本 程序 。 


6.1.1 Windows 下 简单 的 脚本 程序 


我 们 都 知道 ， 在 Windows 系统 中 ， 可 以 通过 cmd.exe 执行 很 多 命令 。 

批 处 理 ， 顾 名 思 义 ， 就 是 进行 批量 的 处 理 。 批 处 理 文件 是 扩展 名 为 .bat 或 .cmd 的 文本 
文件 ， 包 含 一 条 或 多 条 命令 ， 由 DOS 或 Windows 系统 内 榜 的 命令 解释 器 来 解释 运行 。 

比如 我 们 通过 cmd.exe 可 以 使 用 “echo hello world” 命 令 ， 打印 出 “hello world”， 如 
图 6-1 所 示 。 


图 6-1 Windows 系统 下 的 echo 命令 
现在 ， 我 们 将 这 条 命令 写 入 批 处 理 文件 中 ， 新 建 一 个 文本 文件 ， 并 另存 为 hello.bat， 
内 容 如 图 6-2 所 示 。 
运行 这 个 批 处 理 文件 ， 结 果 如 图 6-3 所 示 。 


文件 也 编辑 到 ) 格式 @) 查看 0 帮助 0 可 
echo hello world 1 
echo hello world 


echo hello world D:\>echo hello world 
hello world 


ID:\>echo hello world 
hello world 


ID:\>echo hello world 
hello world 


Pu ce | 
图 6-2 hello.bat 文 件 中 的 内 容 6-3 hello.bat 文件 的 执行 效果 
批 处 理 自动 执行 了 三 次 echo 命令 ， 与 我 们 写 的 内 容 相 符 。 
6.1.2 Linux 下 简单 的 脚本 程序 
上 面 说 到 了 Windows 系统 中 的 简单 脚本 程序 ， 作 为 对 比 ， 下 面 来 介绍 一 下 Linux 系统 


计 这 Ar | my fa 培 " a 
算 | 下 一 些 简单 的 脚本 程序 。 这 些 程序 都 只 实现 些 最 简单 的 功能 ， 但 是 ， 它 们 确 确实 实 就 
全 是 脚本 程序 中 的 一 部 分 ， 它 们 能 让 读者 更 清晰 地 了 解 脚本 程序 的 概念 
风 最 简单 的 脚本 程序 就 是 Shell 程序 。 这 里 给 出 两 个 典型 的 简单 例子 。 
安 例 1: DispUserData。 
让 完整 的 Shell 程序 如 下 : 
而 # 简 单 显示 当前 用 户 情况 的 She11 程序 : DispUserData 
while 
date # 显 示 日 期 、 时 间 
do 
w # 显 示 当 前 在 线 用 户 
sleep 2 # 睡 眠 2 秒 后 继续 
done 


运行 该 程序 后 的 某 些 数据 如 图 6-4 所 示 ， 注 意 每 隔 2 秒 数据 会 变化 一 次 。 该 程序 可 以 
一 直 不 断 地 监视 用 户 运 行 的 情况 ， 非 常 准确 。 


earch Terminal Hel 


上 ion 
). 06s vi 141030. txt 
). 00 


和 6-4 ”DispUserData 的 某 些 运行 结果 


例 2: InNameAge。 
完整 的 Shell 程序 如 下 : 


# 这 是 输入 名 字 和 年 龄 ， 并 写 入 一 文件 的 Shel1 程序 : InNameAge 
FILE="NameAge" 


while # 循 环 控制 
echo Input Name Age # 提 示 输 入 名 字 和 年 龄 
read Name Age # 读 入 名 字 和 年 龄 
do 


echo SName $Age >>$FILE # 把 读 入 的 名 字 和 年 龄 写 入 文件 NameAge 中 
done 
运行 该 程序 后 的 过 程 和 结果 数据 如 图 6-5 所 示 ， 注 意 ， 图 中 运行 了 两 次 mNameAsge 程 
序 ， 因 此 文件 NameAge 中 的 数据 是 两 次 运行 结果 的 累加 。 


File Edit Vie 


inkPad-X201: ~/teach/JiaoBen$ more Namehge 


6-5 两 次 运行 InNameAge 的 过 程 和 结果 文件 NameAge 中 的 内 容 


6.2 ”恶意 脚本 的 概述 


正 是 因为 脚本 程序 拥有 这 些 特点 ， 而 被 一 些 别有用心 的 人 所 利用 。 例 如 ， 在 脚本 中 加 
入 一 些 破坏 计算 机 系统 的 命令 ， 这 样 ， 当 用 户 浏 览 网 页 时 ， 一 旦 调用 这 类 脚本 ， 便 会 使 用 
户 的 系统 受到 攻击 。 这 类 脚本 我 们 称 为 “恶意 脚本 ”。 

从 概念 上 说 ， 恶 意 脚 本 是 指 一 切 以 制造 危害 或 者 损害 系统 功能 为 目的 而 从 软件 系统 中 
增加 、 改 变 或 删除 信息 的 任何 脚本 。 传 统 的 恶意 脚本 包括 病毒 、 蠕 虫 、 特 洛 伊 木马 ， 以 及 
攻击 性 脚本 。 更 新 的 例子 包括 Java 攻击 小 程序 和 人 危险 的 ActiveX 控件 。 


6.2.1 恶意 脚本 的 危害 


恶意 脚本 可 能 会 算 改 用 户 注 册 表 数据 ， 通 过 恶意 脚本 ， 可 以 实现 运行 某 些 程序 或 者 在 
后 台 隐 蔽 地 下 载 某 些 插 件 和 病毒 ， 又 或 者 盗 取 用 户 信息 。 总 之 ， 恶 意 脚本 对 计算 机 安全 有 
重大 的 影响 。 

一 般 恶 意 脚本 大 多 存在 于 一 些 色 情 网 站 、 黑 客 网 站 中 ， 也 有 一 些 正 常 网 站 如 果 存 在 跨 
站 脚本 漏洞 ， 也 可 能 被 黑客 利用 ， 带 来 恶意 脚本 ， 当 用 户 访问 这 些 网 页 的 时 候 ， 恶 意 脚本 
就 被 执行 。 

通过 这 些 介绍 ， 可 能 读者 还 是 对 恶意 脚本 缺乏 明确 的 认识 ， 下 面 ， 我 们 列举 一 些 恶 意 
脚本 的 利用 方式 ， 使 读者 能 更 好 地 明白 恶意 脚本 的 危害 性 。 


6.2.2 用 网 页 脚本 获取 用 户 Cookie 


首先 ， 我 们 编写 一 个 网 页 文件 ， 命 名 为 scripthtml。 
这 个 文件 很 简单 ， 其 中 只 包含 一 行 代码 ， 如 下 所 示 : 


PF 


和 


和 <script language="javascript">alert(' 和 恶意 脚本 ' ) ;</script> 
儿 

六 我 们 用 浏览 器 访问 这 个 页 面 ， 效 果 如 图 6-6 所 示 。 

安 篇 javaScript 提醒 tx 

金 

基 恶意 脚本 

础 


6-6 ”script.html 文件 的 运行 结果 


当然 ， 这 段 代码 并 不 是 恶意 脚本 代码 ， 它 只 实现 一 个 功能 ， 让 浏览 器 弹出 一 个 对 话 框 ， 
对 话 框 里 显示 的 文本 内 容 是 “恶意 脚本 ”， 但 是 ， 我 们 可 以 设想 ， 如 果 把 弹出 对 话 框 的 代 
码 改 成 一 段 恶意 的 代码 ， 可 能 是 添加 一 个 注册 表 项 或 是 读 取 用 户 Cookies 并 发 送 到 指定 地 
址 ， 这 样 ， 当 用 户 访问 页 面 时 ， 恶 意 代码 就 会 自动 被 执行 。 

到 这 里 ， 也 许 读者 还 没有 考虑 到 一 个 简单 的 弹出 窗口 能 有 多 大 的 危害 性 ， 那 么 ， 下 面 
这 个 例子 ， 就 能 让 我 们 清楚 地 认识 到 这 一 点 。 相 信和 只 要 浏览 过 网 页 (各 种 论坛 、 新 闻 网 站 、 
视频 网 站 ) 的 人 ， 肯 定 都 遇 到 过 一 个 问题 ， 就 是 我 们 在 访问 一 些 网 站 的 时 候 ， 会 自动 弹出 一 
些 广告 窗口 ， 这 就 是 我 们 上 面 所 描述 的 弹 窗 的 具体 应 用 ， 这 种 情况 很 有 可 能 是 有 的 网 页 中 
嵌入 了 自动 弹 窗 的 脚本 。 下 面 给 出 一 个 简单 的 自动 弹 窗 脚本 模型 : 

<script>function 1() { 


window.open ("http://www.baidu.com", "sky", 
"width=500, height=350, border=1") 


} 

setTimeout ("1()", 2000) // 两 秒 后 会 自动 执行 该 脚本 

</script> 

将 这 段 代 码 嵌入 正常 的 网 页 中 , 当 用 户 访问 该 网 页 两 秒 后 , 会 自动 打开 www.baidu.com 
页 面 ， 读 者 可 以 自行 尝试 一 下 。 这 个 页 面 当然 不 是 所 谓 的 广告 ， 但 是 ， 若 别有用心 的 人 将 
这 个 地 址 蔡 换 成 一 个 广告 内 容 的 地 址 的 话 ， 结 果 又 会 怎么 样 呢 ? 

如 果 说 ， 那 些 弹出 的 广告 窗 只 是 让 我 们 觉得 很 烦恼 ， 但 并 没有 让 我 们 觉得 自身 利益 受 
到 损害 ， 即 弹出 广告 窗口 并 没有 让 我 们 感受 到 恶意 脚本 的 危害 性 的 话 ， 下 面 的 例子 就 涉及 
到 了 每 一 位 网 民 的 切身 利益 。 

前 面 曾 经 提 到 过 ， 脚 本 可 以 用 于 获取 用 户 Cookies。 也 许 读者 还 不 了 解 Cookies， 这 里 
首先 介绍 一 下 Cookies。 

Cookie 是 浏览 器 提供 的 一 种 机 制 ，Cookie 机 制 将 信息 存储 于 用 户 硬 盘 ， 因 此 ， 可 以 作 
为 全 局 变量 ， 这 是 它 最 大 的 一 个 优点 。 它 可 以 用 于 以 下 几 种 情形 。 

(1) 保存 用 户 登录 状态 。 

例如 ， 将 用 户 id 存储 于 一 个 Cookie 内 ， 这 样 ， 当 用 户 下 次 访问 该 页 面 时 ， 就 不 需要 
重新 登录 了 ， 现 在 很 多 论坛 和 社区 都 提供 这 样 的 功能 。Cookie 还 可 以 设置 过 期 时 间 ， 当 超 
过 时 间 期 限 后 ，Cookie 就 会 自动 消失 。 因 此 ， 系 统 往往 可 以 提示 用 户 选择 保持 登录 状态 的 
时 间 ， 常 见 选项 有 一 个 月 、 三 个 月 、 一 年 等 。 


NE 


(2) 跟踪 用 户 的 行为 。 

例如 ， 一 个 天 气 预 报 网 站 ， 能 够 根据 用 户 选择 的 地 区 显示 当地 的 天 气 情况 。 如 果 每 次 
都 需要 选择 所 在 地 ， 是 很 繁琐 的 ， 当 利用 了 Cookie 后 ， 就 会 显得 很 人 性 化 了 ， 系 统 能 够 记 
住 上 一 次 访问 的 地 区 ， 当 下 次 再 打开 该 页 面 时 ， 它 就 会 自动 显示 上 次 用 户 所 在 地 区 的 天 气 
情况 。 因 为 一 切 都 是 在 后 台 完 成 的 ， 所 以 这 样 的 页 面 就 像 为 某 个 用 户 所 定制 的 一 样 ， 使 
用 起 来 非常 方便 。 

(3) 定制 页 面 。 
如 果 网 站 提供 了 换 肤 或 更 换 布局 的 功能 ， 那 么 可 以 使 用 Cookie 来 记录 用 户 的 选项 , 例 
如 背景 色 、 分 辨 率 等 。 当 用 户 下 次 访问 时 ， 仍 然 可 以 保存 上 一 次 访问 的 界面 风格 。 
(4) 创建 购物 车 。 
正如 在 前 面 的 例子 中 使 用 Cookie 来 记录 用 户 需要 购买 的 商品 一 样 ， 在 结账 的 时 候 ， 可 
以 统一 提交 。 例 如 淘宝 网 就 使 用 Cookie 记录 用 户 曾经 浏览 过 的 商品 ， 方 便 随 时 进行 比较 。 

当然 ， 上 述 应 用 仅仅 是 Cookie 能 完成 的 部 分 应 用 ， 还 有 更 多 的 功能 ， 就 不 一 一 描述 。 
而 Cookie 的 缺点 主要 在 于 安全 性 和 隐私 保护 。 

在 明白 了 Cookie 的 作用 后 ， 也 就 明白 了 ， 当 我 们 登录 各 个 网 站 时 ， 产 生 的 Cookie 也 
就 与 我 们 的 用 户 名 及 密码 一 样 重要 ， 如 果 Cookie 被 资 取 ， 也 就 相当 于 我 们 的 账户 沦陷 。 

下 面 继续 上 面 的 内 容 ， 介 绍 一 个 简单 的 脚本 ， 它 的 作用 就 是 获取 Cookie 的 值 。 

Cookie 的 值 可 以 由 document.cookie 直接 获得 ， 比 如 下 面 这 段 脚本 代码 ， 可 以 获得 当前 
所 有 的 Cookies: 

<script language="JavaScript" type="text/javascript"> 


document .cookie="UserId=123"; 
document . cookie="UserName=user1"7 


var strCookie=document .cookie; 
alert (strCookie); 
</script> 


运行 内 购 这 个 脚本 的 正常 网 页 后 ， 效 果 如 图 6-7 所 示 。 


来 自 网 页 的 消息 至 


和 Userid=123; UserName=userl; 

A ims-1814374652.1374401693.1374401693.1374401693.1; 
utmz=1.1374401693.1.1.utmccn=(direct)lutmcsr=(directlutmem 
d=(none) 


6-7 ”通过 脚本 获取 的 Cookie 内 容 


可 以 清楚 地 看 到 ，Cookie 已 经 被 获取 到 了 , 如 果 攻击 者 在 脚本 中 加 入 发 送 Cookie 的 代 
码 的 话 ， 用 户 Cookie 就 会 被 发 送 到 指定 地 址 ， 如 果 该 Cookie 是 用 于 身份 验证 的 Cookie 的 
话 ， 攻 击 者 就 可 以 通过 算 改 Cookie， 从 而 假冒 我 们 的 身份 ， 绕 过 身份 验证 ， 其 中 的 危害 性 
可 想 而 知 。 事 实 上 ， 这 种 攻击 手段 已 经 相当 常见 。 


人 


算 a A 一 器 

6.2.3 ”用 恶意 脚本 执行 特定 的 程序 

| 

络 上 面 所 说 的 获取 Cookie 的 攻击 ， 目 标 主要 是 用 户 的 账户 ， 当 然 ， 黑 客 的 攻击 手段 远 远 
条 | 不 止 于 此 ， 很 多 时 候 ， 攻 击 者 也 可 以 通过 恶意 脚本 来 执行 一 些 恶 意 文件 ， 来 实现 其 他 的 攻 
站 击 目的 。 下 面 这 个 JavaScript 脚本 的 功能 ， 就 是 执行 攻击 者 指定 的 程序 : 

中 


<script language="javascript"> 

run exe="<OBJECT ID=\"RUNIT\" WIDTH=0 HEIGHT=0 TYPE=\"application/ 
x-oleobject\""; 

run exe+="CODEBASE=\"muma .exe#version=1,1,1,1\">"; 
// 这 里 的 muma .exe 就 是 要 运行 的 程序 

run exet+="<PARAM NAME=\" Version\" value=\"65536\">"; 
run exet+="</OBJECT>"; 

run_exe+="<HTML><H1> 请 稍 等 . . . . . - </H1></HTML>"; 

// 这 里 是 迷惑 人 的 。 可 以 写 上 任何 东西 

document .open (); 

document.clear (); 

document .writeln (run exe); 

document.close(); 

</script> 


对 于 这 个 脚本 程序 而 言 ， 本 身 并 没有 真正 的 危害 性 ， 但 这 个 脚本 执行 后 ， 可 以 在 用 户 
不 知情 的 情况 下 ， 自 动 运行 muma.exe 程序 ， 至 于 这 个 程序 所 实现 的 功能 ， 可 以 说 是 随心 所 
欲 ， 整 个 攻击 流程 的 危害 性 大 小 ， 最 终 全 看 被 运行 的 这 个 程序 ， 但 是 ， 整 个 攻击 的 发 起 是 
通过 攻击 者 的 JavaScript 脚本 程序 来 实现 的 。 


6.2.4 各 类 脚本 语言 木马 程序 


在 实际 应 用 中 ， 经 常会 有 这 样 的 情况 ， 黑 客 对 网 站 进行 渗透 时 ， 常 常会 借助 于 一 些 脚 
本 木马 来 达到 目的 ， 比 如 作为 后 门 ， 或 者 实现 任意 上 传 功能 等 。 如 果 一 个 网 站 上 存在 上 传 
漏洞 ， 那 么 ， 黑 客 就 可 以 借助 这 个 漏洞 ， 上 传 一 个 脚本 木马 。 例 如 ， 某 ASP 脚本 的 主要 功 
能 就 是 上 传 文件 ， 在 本 地 ASP 环境 下 运行 该 脚本 ， 效 果 如 图 6-8 所 示 。 


图 6-8 常见 ASP 上 传 文件 的 脚本 程序 运行 情况 


第 6 章 、 亚 意 助 木 @@ 


上 传 文件 时 , 可 以 由 攻击 者 指定 路 径 及 内 容 , 如 果 这 样 的 脚本 被 上 传 到 Web 服务 器 上 ， 
攻击 者 就 可 以 不 受 任何 限制 地 向 服务 器 中 上 传 任意 的 文件 了 ， 这 其 中 ， 当 然 也 包括 其 他 的 
恶意 程序 ， 进 而 可 以 进行 下 一 步 的 渗透 攻击 。 


1. 说 明 脚本 及 恶意 脚本 的 概念 。 

2. 举例 说 明 恶 意 脚本 的 危害 性 。 

3. 在 Windows 下 编写 bat 文件 ， 实 现 无 限 循环 输出 “Hello World! ”。 

4. 实现 一 个 脚本 程序 ， 功 能 是 输出 “Hello Script! ”， 要 求 在 Linux 系统 下 实现 ， 并 
且 使 用 vi 编辑 器 。 

5. 实现 一 个 脚本 程序 ， 功 能 无 限 循 环 ， 生 成 两 个 小 于 10 的 随机 数 x，y， 并 输出 X，y， 
同时 输出 两 个 随机 数 的 和 x+y， 要 求 在 Linux 系统 下 实现 ， 并 且 使 用 vi 编辑 器 。 

6. 选用 你 熟悉 的 任意 一 种 编程 语言 ， 实 现 一 个 脚本 程序 ， 功 能 是 记录 用 户 所 有 的 键盘 
操作 (每 次 敲 击 键盘 都 被 记录 )， 系 统 及 编辑 器 不 限 ， 如 能 做 到 Windows 及 Linux 通用 更 佳 。 


参考 资料 


[1] Win7: http://wenku.baidu.com/link?url=nyvSUbO4VawWYZGjz3WVJ6XhOHOFdCEmVfa_ 
Usp-EfU-K1llkYxn6PsQTmwgxENdOPt-xdE-Jh MU9TI3K9ZKde7J]LiVdxW6FPJF6O00ZsonW 
[2] XP: http://blog.sina.com.cn/s/blog 6d9f2f320100n8o05.html 
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7.1 概念 


网 络 安全 评估 又 叫 安全 评价 (Safety Assessment)。 

一 个 组 织 的 信息 系统 经 常会 面临 内 部 和 外 部 威胁 的 风险 。 随 着 黑客 技术 的 日 趋 先进 ， 如 
果 没 有 黑客 技术 的 经 验 与 知识 ， 就 很 难 充分 保护 我 们 的 系统 。 

安全 评估 用 大 量 安全 性 行业 经 验 和 漏洞 扫描 的 最 先进 技术 , 从 内 部 和 外 部 两 个 角度 ,对 
企业 信息 系统 进行 全 面 的 评估 。 

周密 的 网 络 安全 评估 与 分 析 ， 是 可 靠 、 有 效 的 安全 防护 措施 制定 的 必要 前 提 。 网 络 风 
险 分 析 应 该 在 网 络 系统 应 用 程序 或 信息 数据 库 的 设计 阶段 进行 ， 这 样 ， 可 以 从 设计 开始 ， 
就 明确 安全 需求 ， 确 认 潜 在 的 损失 。 因 为 在 设计 阶段 实现 安全 控制 要 远 比 在 网 络 系统 运行 
后 采取 同样 的 控制 节约 得 多 。 

即使 认为 当前 的 网 络 系统 分 析 建 立 得 十 分 完善 ， 在 建立 安全 防护 时 ， 风 险 分 析 还 是 会 
发 现 一 些 潜在 的 安全 问题 。 

网 络 系统 的 安全 性 ， 取 决 于 网 络 系统 最 薄弱 的 环节 ， 任 何 疏 忽 的 地 方 ， 都 可 能 成 为 黑 
客 攻击 点 ， 导 致 网 络 系统 受到 很 大 的 威胁 。 最 有 效 的 方法 是 定期 对 网 络 系统 进行 安全 性 分 
析 ， 及 时 发 现 并 修正 存在 的 弱点 和 漏洞 ， 保 证 网 络 系统 的 安全 性 。 

一 个 全 面 的 风险 分 析 应 包括 下 列 方面 : 
物理 层 安全 风险 分 析 。 
链 路 层 安全 风险 分 析 。 
网 络 层 (包含 传输 层 ) 安 全 风险 分 析 。 
操作 系统 安全 风险 分 析 。 
应 用 层 安 全 风险 分 析 。 
管理 层 安全 风险 分 析 。 
典型 的 黑客 攻击 手段 。 


7.1.1 系统 层 的 安全 风险 


系统 级 的 安全 风险 分 析 主 要 针对 网 络 中 采用 的 操作 系统 、 数 据 库 相 关 商 用 产品 的 安全 
漏洞 和 病毒 危险 。 
目前 ， 主 流 的 操作 系统 包括 各 种 商用 Unix/Linux、Windows 以 及 各 种 网 络 设备 或 网 络 
安全 设备 中 的 专用 操作 系统 。 这 些 操作 系统 自身 也 存在 许多 安全 漏洞 。 随 着 黑客 的 技术 手 
段 日 益 变 得 高 超 ， 新 的 攻击 手段 也 不 断 出 现 。 

对 于 安全 风险 而 言 ， 有 的 是 协议 自身 的 问题 ， 有 的 是 系统 自身 设计 不 完善 造成 的 。 因 
此 ， 主 机 系统 本 身 的 各 种 安全 隐患 ， 注 定 了 将 带 来 各 种 攻击 的 可 能 性 。 基 于 这 些 主机 系统 
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之 上 的 业务 也 会 受到 不 同 程度 的 威胁 。 


7.1.2 网 络 层 的 安全 风险 


网 络 层 主要 从 三 个 方面 分 析 : 物理 层 、 数 据 链 路 层 、 网 络 边界 。 
(1) 物理 层 安 全 风险 
网 络 的 物理 安全 风险 ， 主 要 指 由 于 网 络 周边 环境 和 物理 特性 引起 的 网 络 设备 和 线路 的 
不 可 用 ， 而 造成 网 络 系统 的 不 可 用 。 可 以 说 ， 网 络 物理 安全 是 整个 网 络 系统 安全 的 前 提 。 
物理 安全 风险 主要 包括 : 
@ 地震、 水 灾 、 火 灾 等 环境 事故 造成 整个 系统 毁灭 。 
电源 故障 造成 设备 断 电 ， 以 至 操作 系统 引导 失败 或 数据 库 信息 丢失 。 
设备 被 盗 、 被 毁 ， 造 成 数据 丢失 或 信息 泄漏 。 
电磁 辐射 可 能 造成 数据 信息 被 窃取 或 偷 阅 。 
设备 的 物理 损坏 ， 包 括 服 务 器 、 存 储 设备 、 交 换 机 、 路 由 器 的 物理 损坏 ， 甚 至 包 
括 网 络 安全 设备 本 身 的 物理 损坏 ， 都 将 导致 灾难 性 的 损失 。 
(2) 数据 链 路 层 安 全 风险 
网 络 安全 风险 不 仅 起 因 于 非法 入 侵 者 到 企业 内 部 网 上 进行 攻击 、 窃 取 或 搞 其 他 破坏 ， 
他 们 还 完全 有 可 能 在 传输 线路 上 安装 窃听 装置 ， 窃 取 网 上 传输 的 重要 数据 ， 再 通过 一 些 技 
术 读 出 数据 信息 ， 导 致 信息 泄密 ， 或 者 做 一 些 自 改 ， 来 破坏 数据 的 完整 性 。 
未 经 加 密 的 公 网 连接 方式 是 存在 一 定 的 链 路 传输 风险 的 。 对 于 数据 非常 重要 的 传输 链 
路 ， 数 据 在 传输 过 程 中 必须 加 密 ， 并 通过 数据 签名 及 认证 技术 来 保证 数据 在 网 上 传输 的 真 
实 性 、 机 密 性 、 可 靠 性 及 完整 性 。 
(3) 网 络 边界 安全 风险 
网 络 的 边界 ,是 指 两 个 不 同安 全 级 别 的 网 络 的 接 入 处 ,包括 同 Intermet 网 的 接 入 处 ， 以 
及 内 部 不 同安 全 级 别 的 子 网 之 间 的 连接 处 。 
一 般 网 络 边界 的 安全 威胁 涉及 到 以 下 方面 : 
@ 与 Intemet 连接 的 边界 安全 威胁 。 由 于 Intemet 的 开放 性 、 国 际 性 和 自由 性 , Internet 
已 成 为 国家 之 间 信 息 战 的 主要 战场 ;商业 间谍 会 利用 Intemet 窃取 企业 的 机 密 数 
据 ， 企业 之 间 的 竞争 会 导致 竞争 对 手 攻击 本 企业 的 网 络 ， 黑 客 也 随时 随地 想 攻 入 
企业 网 络 。 因 此 ， 只 要 与 Intermet 相连 ， 内 部 网 络 就 面临 着 严重 的 安全 威胁 。 
@ 与 系统 外 网 络 互联 的 安全 威胁 。 网 络 系统 中 ,除了 与 Intemet 相连 接 ， 由 于 业务 需 
要 ， 也 可 能 与 其 他 企业 或 组 织 的 网 络 系统 有 业务 的 交互 。 因 此 ， 网 络 外 延 部 分 也 
就 成 了 边界 的 一 种 。 如 果 系 统 内 部 局 域 网 络 与 系统 外 部 网 络 间 没有 采取 一 定 的 安 
全 防护 措施 ， 内 部 网 络 就 很 容易 遭 到 外 网 一 些 不 怀 好 意 的 入 侵 者 的 攻击 。 
@ 入侵 者 通过 网 络 监听 等 先进 手段 获得 内 部 网 用 户 名 、 口 令 等 信息 ， 进 而 假冒 内 部 
合法 身份 进行 非法 登录 ， 窃 取 内 部 网 的 重要 信息 。 
@ ”恶意 攻击 。 入 侵 者 通过 发 送 大 量 Ping 包 ， 对 内 部 网 的 重要 服务 器 进行 攻击 ， 使 得 
服务 器 超 负荷 工作 ， 以 至 拒绝 服务 ， 甚 至 导致 系统 瘫痪 。 


机 | 7.1.3 应 用 层 的 安全 风险 


应 用 层 的 安全 风险 主要 表现 为 身份 认证 漏洞 、 关 键 信息 存储 问题 。 包 括 : 

@ ”服务 系统 登录 和 主机 登录 时 用 的 静态 口令 问题 。 非 法 用 户 通 过 网 络 窃听 、 非 法 数 
据 库 访问 、 穷 举 攻击 、 重 放 攻 击 等 手段 ， 很 容易 得 到 这 种 静态 口令 。 

础 @ 对 关键 业务 服务 器 的 非 授权 访问 。 业 务 服务 器 是 网 络 系统 中 提供 信息 数据 服务 的 
关键 ， 许 多 信息 只 有 相应 级 别 的 用 户 才能 查阅 。 如 果 没 有 完善 的 安全 措施 ， 可 能 
会 有 非法 用 户 没 有 经 过 允许 而 直接 访问 网 络 资源 ， 造 成 机 密 信 息 外 泄 。 

e@ 应 用 层 的 安全 风险 还 涉及 到 共享 资源 访问 、 电 子 邮件 和 电子 邮件 服务 器 的 可 信和 问 
题 、 病 毒 问题 等 方面 。 


7.1.4 管理 层 的 安全 风险 


理 层 也 同样 存在 安全 风险 ， 包 括 : 

责 权 不 明 、 管 理 混乱 、 安 全 管理 制度 不 健全 及 缺乏 可 操作 性 等 ， 都 可 能 引起 管理 
安全 风险 。 

e@ ”内 部 管理 人 员 或 员工 把 内 部 网 络 结构 、 管 理 员 用 户 名 及 口令 以 及 系统 的 一 些 重要 
信息 传播 给 外 人 而 带 来 信息 泄露 风险 。 

e@ ”内 部 不 满 的 员工 有 的 可 能 熟悉 服务 器 、 小 程序 、 脚 本 和 系统 的 弱点 。 利 用 网 络 开 
些小 玩笑 ， 甚 至 破坏 。 如 传 出 至 关 重 要 的 信息 、 错 误 地 进入 数据 库 、 删 除数 据 等 ， 
这 些 都 将 给 网 络 带 来 极 大 的 安全 风险 。 

@ ”管理 是 网 络 中 安全 得 到 保证 的 重要 组 成 部 分 ， 是 防止 来 自 内 部 网 络 入 侵 必 不 可 少 

的 行政 手段 。 网 络 安全 系统 的 建立 ， 除 了 从 技术 上 下 功夫 外 ， 还 得 依靠 安全 管理 

来 实现 。 


De 


7.2 安全 隐患 和 安全 评估 方法 


7.2.1 常见 的 安全 隐患 


目前 的 网 络 系统 中 ， 常 见 的 安全 隐患 包括 : 

@ ”系统 开放 了 不 必要 的 服务 。 

弱 口 令 。 

软件 版 本 本 身 的 漏洞 。 

Web 服务 器 的 配置 问题 。 

文件 共享 不 合适 。 

服务 器 的 配置 问题 。 

防火 墙 的 配置 和 路 由 器 的 访问 控制 表 的 配置 问题 。 
信息 泄露 。 

信任 关系 。 
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@ ”特洛伊 木 马 。 

@ ”远程 访问 不 安全 。 

为 了 减少 网 络 安全 问题 造成 的 损失 ， 保 证 广大 网 络 用 户 的 利益 ， 我 们 必须 采取 网 络 安 
全 对 策 ， 来 应 对 网 络 安全 问题 。 但 网 络 安全 对 策 不 是 万 能 的 ， 它 总 是 相对 的 ， 为 了 把 危害 
降 到 最 低 ， 必 须 采 用 多 种 安全 措施 来 对 网 络 进行 全 面 保护 。 


7.2.2 网络 安全 评估 方法 


常用 的 网 络 安全 评估 方法 包括 : 

ee 黑 盒 测试 。 

操作 系统 的 漏洞 检查 和 分 析 。 

网 络 服务 的 安全 漏洞 及 隐患 的 检查 和 分 析 。 
抗 攻击 测试 。 

综合 审计 报告 。 


7.2.3 和 白 盒 测试 


白 盒 测 试 也 称 结构 测试 或 逻辑 驱动 测试 ， 它 是 按照 程序 内 部 的 结构 来 测试 程序 ， 通 过 
测试 ， 来 检测 产品 内 部 动作 是 否 按照 设计 规格 说 明 书 的 规定 正常 进行 ， 以 及 检验 程序 中 的 
每 条 通路 是 否 都 能 按 预 定 要 求 正确 工作 。 这 一 方法 是 把 测试 对 象 看 作 一 个 打开 的 盒子 ， 测 
试 人 员 依据 程序 内 部 逻辑 结构 的 相关 信息 ， 设 计 或 选择 测试 用 例 ， 对 程序 的 所 有 逻辑 路 径 
进行 测试 ， 通 过 在 不 同 点 检查 程序 的 状态 ， 确 定 实际 的 状态 是 否 与 预期 的 状态 一 致 。 

白 盒 测 试 的 测试 方法 包括 : 

代码 检查 法 。 

静态 结构 分 析 法 。 

静态 质量 度量 法 。 

逻辑 覆盖 法 。 

基本 路 径 测 试 法 。 

域 测试 。 

符号 测试 。 

路 径 覆 盖 。 

程序 变异 。 

履 盖 标 准 包括 : 

@ 语句 覆盖 ， 每 条 语句 至 少 执行 一 次 。 

e” 判 定 覆 盖 ， 每 个 判定 的 每 个 分 支 至 少 执行 一 次 。 

@ ”条 件 覆 盖 ， 每 个 判定 的 每 个 条 件 应 取 到 各 种 可 能 的 值 。 

ee 判定 /条 件 履 盖 ， 同 时 满足 判定 覆盖 和 条 件 履 盖 。 

@ ”条 件 组 合 覆 盖 ， 每 个 判定 中 ， 各 条 件 的 每 一 种 组 合 至 少 出 现 一 次 。 

外 

这 


路 径 覆 盖 ， 使 程序 中 每 一 条 可 能 的 路 径 至 少 执行 一 次 。 
6 种 覆盖 标准 发 现 错误 的 能 力 呈 由 弱 至 强 地 变化 。 


白 盒 测试 的 要 求 主要 包括 : 
保证 一 个 模块 中 的 所 有 独立 路 径 至 少 被 使 用 一 次 。 
对 所 有 逻辑 值 均 需 测试 true 和 false。 
在 上 下 边界 及 可 操作 范围 内 运行 所 有 循环 。 
检查 内 部 数据 结构 ， 以 确保 其 有 效 性 。 
白 盒 测试 的 目的 ， 是 通过 检查 软件 内 部 的 逻辑 结构 ， 对 软件 中 的 逻辑 路 径 进行 覆盖 测 
试 ， 在 程序 中 不 同 的 地 方 设 立 检查 点 ， 检 查 程序 的 状态 ， 以 确定 实际 运行 状态 与 预期 状态 
是 否 一 致 。 
白 盒 测试 的 特点 ， 是 依据 软件 设计 说 明 书 进行 测试 ， 对 程序 内 部 细节 进行 严密 检验 ， 
针对 特定 条 件 设 计 测 试用 例 ， 对 软件 的 逻辑 路 径 进行 覆盖 测试 。 
白 盒 测试 的 实施 步骤 主要 如 下 。 

(1) 测试 计划 阶段 : 根据 需求 说 明 书 ， 制 定 测试 进度 。 

(2) 测试 设计 阶段 :依据 程序 设计 说 明 书 ， 按 照 一 定 的 规范 化 方法 进行 软件 结构 划分 
和 设计 测试 用 例 。 

(3) 测试 执行 阶段 : 输入 测试 用 例 ， 得 到 测试 结果 。 

(4) 测试 总 结 阶段 : 对 比 测试 的 结果 和 代码 的 预期 结果 ， 分 析 错 误 原 因 ， 找 到 并 解决 
错误 。 

白 盒 测试 的 优点 主要 有 : 
@ ”迫使 测试 人 员 去 仔细 思考 软件 的 实现 。 
@ ”可 以 检测 代码 中 的 每 条 分 支 和 路 径 。 
e@ ”揭示 隐藏 在 代码 中 的 错误 。 
D2 
D2 


对 代码 的 测试 比较 彻底 。 

最 优化 。 
白 盒 测 试 的 缺点 主要 有 : 

@ 昂贵 。 

e@ “无 法 检测 代码 中 遗漏 的 路 径 和 数据 敏感 性 错误 。 

@ 不 验证 规格 的 正确 性 。 

当然 ， 白 盒 测 试 还 有 其 他 的 局 限 ， 即 使 每 条 路 径 都 测试 了 ， 仍 然 可 能 有 错误 ， 主 要 原 
因 如 下 : 

@ ” 穷 举 路 径 测 试 绝 不 能 查 出 程序 违反 了 设计 规范 ， 即 程序 本 身 是 个 错误 的 程序 。 

@ ” 穷 举 路 径 测 试 不 可 能 查 出 程序 中 因 遗 漏 路 径 而 出 错 。 

@ ” 穷 举 路 径 测 试 可 能 发 现 不 了 一 些 与 数据 相关 的 错误 。 


7.2.4” 黑 盒 测试 


黑 盒 测试 也 称 功能 测试 ， 它 通过 测试 来 检测 每 个 功能 是 否 都 能 正常 使 用 。 在 测试 中 
把 程序 看 作 一 个 不 能 打开 的 黑 盒子 ， 在 完全 不 考虑 程序 内 部 结构 和 内 部 特性 的 情况 下 ， 在 
程序 接口 进行 测试 ， 它 只 检查 程序 功能 是 否 按照 需求 规格 说 明 书 的 规定 正常 使 用 ， 程 序 是 
和 否 能 适当 地 接收 输入 数据 而 产生 正确 的 输出 信息 。 黑 盒 测试 着 眼 于 程序 的 外 部 结构 ， 不 考 
虑 内 部 逻辑 结构 ， 主 要 针对 软件 界面 和 软件 功能 进行 测试 。 


NE 
HN 
中 
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黑 盒 测 试 法 注重 于 测试 软件 的 功能 需求 ， 主 要 试图 发 现下 列 几 类 的 错误 : 
功能 不 正确 或 遗漏 。 

界面 错误 。 
输入 和 输出 错误 。 

数据 库 访 问 错误 。 

性 能 错误 。 

@ ”初始 化 和 终止 错误 。 

从 理论 上 讲 ， 黑 盒 测 试 只 有 采用 穷 举 输入 测试 ， 把 所 有 可 能 的 输入 都 作为 测试 情况 考 
虑 ， 才 能 查 出 程序 中 所 有 的 错误 。 实 际 上 ， 测 试 情况 有 无 穷 多 个 ， 人 们 不 仅 要 测试 所 有 合 
法 的 输入 ， 而 且 还 要 对 那些 不 合法 但 可 能 的 输入 进行 测试 。 这 样 看 来 ， 完 全 测试 是 不 可 能 
的 ， 所 以 ， 我 们 要 进行 有 针对 性 的 测试 ， 通 过 制定 测试 案例 指导 测试 的 实施 ， 保 证 软件 测 
试 有 组 织 、 按 步骤 ， 以 及 有 计划 地 进行 。 黑 盒 测 试行 为 必须 能 够 加 以 量化 ， 才 能 真正 保证 
软件 的 质量 ， 而 测试 用 例 就 是 将 测试 行为 具体 量化 的 方法 之 一 。 

总 结 起 来 ， 黑 盒 测 试 的 流程 主要 分 为 以 下 几 个 步骤 。 

(D 测试 计划 : 首先 ， 根 据 用 户 需 求 报告 中 关于 功能 要 求 和 性 能 指标 的 规格 说 明 书 ， 
定义 相应 的 测试 需求 报告 ， 即 制订 黑 盒 测 试 的 最 高 标准 ， 以 后 所 有 的 测试 工作 都 将 围绕 着 
测试 需求 来 进行 ， 符 合 测试 需求 的 应 用 程序 即 是 合格 的 ， 反 之 则 是 不 合格 的 。 同 时 ， 还 要 
适当 选择 测试 内 容 ， 合 理 安排 测试 人 员 、 测 试 时 间 及 测试 资源 等 。 

(2) 测试 设计 : 将 测试 计划 阶段 制订 的 测试 需求 分 解 、 细 化 为 若干 个 可 执行 的 测试 过 
程 ， 并 为 每 个 测试 过 程 选 择 适 当 的 测试 用 例 ( 测 试用 例 选择 的 好 坏 ， 将 直接 影响 到 测试 结果 
的 有 效 性 )。 

(3) 测试 开发 : 建立 可 重复 使 用 的 自动 测试 过 程 。 

(4) 测试 执行 : 执行 测试 开发 阶段 建立 的 自动 测试 过 程 ， 并 对 所 发 现 的 缺陷 进行 跟踪 
管理 。 测 试 执行 一 般 由 单元 测试 、 组 合 测试 、 集 成 测试 、 系 统 联 调 及 回归 测试 等 步骤 组 成 ， 
测试 人 员 应 本 着 科学 负责 的 态度 ， 一 步 一 个 脚印 地 进行 测试 。 

(5) 测试 评估 : 结合 量化 的 测试 覆盖 域 及 缺陷 跟踪 报告 ， 对 应 用 软件 的 质量 和 开发 团 
队 的 工作 进度 及 工作 效率 进行 综合 评价 。 

例如 ， 有 具体 到 某 个 Web 应 用 的 话 ， 常 用 的 测试 方法 如 下 。 

(1) 页 面 链接 检查 : 每 一 个 链接 是 否 都 有 对 应 的 页 面 ， 并 且 页 面 之 间 切 换 正确 。 

(2) 相关 性 检查 : 删除 /增加 一 项 会 不 会 对 其 他 项 产生 影响 ， 如 果 产 生 影响 ， 这 些 影响 
是 否 都 正确 。 

(3) 检查 按钮 的 功能 是 否 正 确 : 如 Update、Cancel、Delete、Save 等 功能 是 否 正确 。 

(4) 字符 串 长 度 检查 : 输入 超出 需求 所 说 明 的 字符 串 长 度 的 内 容 ， 看 系统 是 否 检查 字 
符 串 长 度 ， 会 不 会 出 错 。 

(5) 字符 类 型 检查 : 在 应 该 输入 指定 类 型 的 内 容 的 地 方 输入 其 他 类 型 的 内 容 (如 在 应 该 
输入 整 型 的 地 方 输入 其 他 字符 类 型 )， 看 系统 是 否 检查 字符 类 型 ， 会 否 报错 。 

(6) 标点 符号 检查 : 输入 内 容 包括 各 种 标点 符号 ， 特 别 是 空格 、 各 种 引号 、 回 车 键 等 ， 
看 系统 处 理 是 否 正确 。 

(7) 中 文字 符 处 理 : 在 可 以 输入 中 文 的 系统 输入 中 文 ， 看 会 否 出 现 乱 码 或 出 错 。 


(8) 检查 带 出 信息 的 完整 性 : 在 查看 信息 和 更 新 信息 时 ， 查 看 所 填写 的 信息 是 不 是 全 
机 | 部 带 出 ， 带 出 信息 和 添加 的 是 否 一 致 。 

内 (9) 信息 重复 : 对 一 些 需 要 命名 且 名 字 应 该 唯一 的 信息 输入 重复 的 名 字 或 ID， 看 系统 
有 没有 处 理 ， 会 否 报 错 ， 重 名 包括 是 否 区 分 大 小 写 ， 以 及 在 输入 内 容 的 前 后 输入 空格 ， 系 
基 


侈 | 统 是 否 做 出 正确 的 处 理 。 
而 (10) 检查 删除 功能 : 在 一 些 可 以 一 次 删除 多 个 信息 的 地 方 , 不 选择 任何 信息 , 按 Delete 
键 ， 看 系统 如 何 处 理 ， 是 否 会 出 错 ;然后 选择 一 个 和 多 个 信息 进行 删除 ， 看 是 否 正确 处 理 。 
(11) 检查 添加 和 修改 是 否 一 致 ， 检 查 添 加 和 修改 信息 的 要 求 是 否 一 致 ， 例 如 添加 要 求 
必 填 的 项 ， 修 改 也 应 该 必 填 ， 添 加 规定 为 整 型 的 项 ， 修 改 也 必须 为 整 型 。 
(12) 检查 修改 重 名 : 修改 时 ， 把 不 能 重 名 的 项 改 为 已 存在 的 项 ， 看 是 否 会 处 理 、 报 错 。 
同时 也 要 注意 ， 会 不 会 报 有 关 重 名 的 错 。 
(13) 重复 提交 表单 ， 一 条 已 经 成 功 提交 的 纪录 ，back 后 再 提交 ， 看 看 系统 是 否 做 了 


处 理 。 
(14) 检查 多 次 使 用 back 键 的 情况 : 在 有 back 的 地 方 ，back， 回 到 原来 页 面 ， 再 back， 
重复 多 次 ， 看 是 否 会 出 错 。 

(15) Search 检查 : 在 有 Search 功能 的 地 方 输入 系统 存在 和 不 存在 的 内 容 ， 看 Search 结 
果 是 否 正 确 。 如 果 可 以 输入 多 个 Search 条 件 ， 可 以 同时 添加 合理 和 不 合理 的 条 件 ， 看 系统 
处 理 是 否 正确 。 

(16) 输入 信息 位 置 : 注意 在 光标 停留 的 地 方 输入 信息 时 ， 光 标 和 所 输入 的 信息 会 否 跳 
到 别 的 地 方 。 

(17) 上 传 下 载 文件 检查 : 上 传 下 载 文件 的 功能 是 否 实现 ， 上 传 文件 是 否 能 打开 。 对 上 
传 文件 的 格式 有 何 规定 ， 系 统 是 否 有 解释 信息 ， 并 检查 系统 是 否 能 够 做 到 。 

(18) 必 填 项 检查 : 应 该 填写 的 项 没有 填写 时 ， 系 统 是 否 做 了 处 理 ， 对 必 填 项 是 否 有 提 
示 信 息 ， 如 在 必 填 项 前 加 *。 

(19) 快捷 键 检查 ， 是 否 支持 常用 快捷 键 ， 如 CtrlHC、CtlHV、Backspace 等 ， 对 一 些 不 
允许 输入 信息 的 字段 ， 如 选 人 、 选 日 期 ， 对 快捷 方式 是 否 也 做 了 限制 。 

(20) 回 车 键 检查 : 在 输入 结束 后 直接 按 Enter 键 ， 看 系统 如 何 处 理 ， 是 否 会 报错 。 


7.2.5 ” 黑 盒 测试 和 白 盒 测试 的 区 别 


黑 盒 测 试 是 指 已 知 产品 的 功能 设计 规格 ， 可 以 进行 测试 ， 来 证 明 每 个 实现 了 的 功能 是 
否 符合 要 求 。 
白 盒 测试 是 指 已 知 产品 的 内 部 工作 过 程 ， 可 以 通过 测试 ， 来 证 明 每 种 内 部 操作 是 否 符 
合 设计 规格 要 求 ， 所 有 内 部 成 分 是 否 经 过 了 检查 。 

软件 的 黑 盒 测 试 ， 意 味 着 测试 要 在 软件 的 接口 处 进行 。 这 种 方法 是 把 测试 对 象 看 作 一 
个 黑 盒 子 ， 测 试 人 员 完 全 不 考虑 程序 内 部 的 逻辑 结构 和 内 部 特性 ， 只 依据 程序 的 需求 规格 
说 明 书 ， 检 查 程序 的 功能 是 否 符合 它 的 功能 说 明 。 因 此 ， 黑 盒 测 试 又 叫 功能 测试 ， 或 数据 
驱动 测试 。 黑 盒 测 试 主要 是 为 了 发 现 以 下 几 类 错误 : 

e 是否 有 不 正确 或 遗漏 的 功能 。 

e ”在 接口 上 ， 输 入 是 否 能 正确 地 接受 ， 能 否 输出 正确 的 结果 。 
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@ ”是 否 有 数据 结构 错误 或 外 部 信息 (例如 数据 文件 ) 访 问 错误 。 
e ”性能 上 是 否 能 够 满足 要 求 。 

@ ”是 否 有 初始 化 或 终止 性 错误 。 

软件 的 白 盒 测试 ， 是 对 软件 的 过 程 性 细节 做 细致 的 检查 。 这 种 方法 是 把 测试 对 象 看 作 


一 个 打开 的 盒子 ， 


它 允 许 测试 人 员 利用 程序 内 部 的 逻辑 结构 及 有 关 信息 ， 设 计 或 选择 测试 


用 例 ， 对 程序 的 所 有 逮 辑 路 径 进行 测试 。 通 过 在 不 同 点 检查 程序 状态 ， 确 定 实际 状态 是 否 
与 预期 的 状态 一 致 。 因 此 ， 白 盒 测试 又 称 为 结构 测试 ， 或 逻辑 驱动 测试 。 白 盒 测 试 主要 是 


想 对 程序 模块 进行 如 下 检查 : 
@ ”对 程序 模块 的 所 有 独立 的 执行 路 径 至 少 测试 一 遍 。 
@ ”对 所 有 的 逻辑 判定 ， 取 “ 真 ”与 取 “ 假 ”的 两 种 情况 都 能 至 少 测 一 遍 。 
@ ”在 循环 的 边界 和 运行 的 界限 内 执行 循环 体 。 
@ ”测试 内 部 数据 结构 的 有 效 性 。 


7.2.6 漏洞 扫描 
利用 漏洞 扫描 系统 ， 可 以 对 网 络 系 统 进行 扫描 分 析 ， 主 要 包括 : 


弱点 漏洞 检测 。 
运行 服务 检测 。 
用 户 信息 检测 。 
口令 安全 性 检测 。 


e ”文件 系统 安全 性 检测 。 
网 络 上 这 类 的 工具 也 很 多 ， 这 里 简单 地 演示 一 下 用 Xscan 检测 本 机 开放 服务 及 


全 漏洞 的 过 程 。 


Xscan 的 下 载 地 址 : http:/www.onlinedown.net/soft/1498.htm。 
Xscan 的 操作 界面 如 图 7-1 所 示 。 


人 X-Scan v3.3 GUI 

文件 中 设置 如 ) 查看 &) 工具 Q) Laneusee 帮助 区) 
四 | II 四 国志 
普通 信息 | 漏洞 信息 | 错误 信息 | 


Ix-Sean-v3.3 使 用 说 明 
| 一 ， 系 统 要 求 : Windows NT/2000/XP/2003 

理论 上 可 运行 于 Windows 瑞 系 列 换 作 系统 ， 推 荐 运行 于 Windows 2000 以 上 的 Server 版 indows 系 统 。 
二 ， 功 能 简介 ; 

站 ) 进 行 : | 习 
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取 详 细 资 料 : “http://wrw. xfoct 


图 7-1 X-Scan v3.3 软件 的 操作 界面 


一 此 安 


PF 


未 单 击 “ 扫 描 参 数 ” 按 钮 ， 即 可 进入 参数 设置 界面 ， 如 图 7-2 所 示 。 
机 

网 

络 

安 

全 

而 


7-2 X-Scan 的 参数 设置 界面 
在 指定 卫 范围 处 输入 本 机 IP 地 址 即 可 (127.0.0.1 是 本 机 IP 的 一 种 表示 方式 )。 
Xscan 还 提供 许多 设置 和 插件 , 可 以 根据 需要 选择 , 这 里 保持 默认 即 可 , 如 图 7-3 所 示 


件 版 本 : 1.4 
件 作者 ; aacier 


插 | 
网 让 于 加 载 漏洞 检测 脚本 进行 安 


字典 文件 设置 


党 口 口 口 口 
口 份 份 夫 只 


7-3 Xscan 的 设置 和 插件 
单 击 “确定 ” 按 钮 完成 设置 ， 然 后 单 击 “ 开 始 扫描 ”按钮 即 可 。 这 时 ， 软 件 已 经 开始 


按 我 们 的 设置 进行 扫描 了 ， 等 待 一 会 儿 ， 就 会 有 扫描 结果 ， 扫 描 过 程 如 图 7-4 所 示 。 
扫描 完成 时 ， 软 件 界面 中 已 经 给 出 了 扫描 结果 ， 如 图 7-5 所 示 。 


扫描 结束 的 同时 ， 软 件 自动 给 出 一 个 详细 的 扫描 报告 ， 7-6 所 示 。 


通过 这 个 扫描 报告 ， 就 可 以 清楚 地 看 到 本 机 运行 的 服务 状态 ， 可 以 判断 是 否 存在 的 一 
些 漏洞 及 弱 口 令 等 。 
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7-4 软件 正在 扫描 中 


全 X-Scan v3.3 GUL 
文件 外 设置 如 查看 W 工具 人 ) Langasge 帮助 区 ) 
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图 7-5 扫描 结束 
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开放 服务 
https "服务 可 能 运行 于 该 请 口 - 


INEssus mp:10330 


epmap (135/tcp) 


开放 服务 
"epmap" 限 务 可 能 运行 于 该 端口 、 


INESSUS_ID : 10330 


| 警 省 


www (80/tcp) 


服务 器 的 内 容 。 加 果 你 不 使 用 这 个 功能 ,请 禁用 它 。 
| 解 岂 方案 : http:/jsupport.microsoft.comjdefouit.aspx7kbid=241520 
| 风 隆 等 级 : 中 


[The remote server is running with WebDAV enabled. 


|WebDAV is an industry standard extension to the HTTP specification. 
1t adds a capablity for authorized users to remotely add and manage 
‘the content of a web server. 


7-6 软件 给 出 的 扫描 结果 报告 


| 远程 服务 器 当前 运行 WebDAY 报 务 ，WebDAY 服务 是 HTTP 规 范 的 一 个 扩展 的 标准 。 它 让 远程 用 户 对 服务 器 添加 授权 的 用 户 和 管理 添加 


机 | 7.2.7 典型 的 黑客 攻击 手段 


(1) 口令 猜测 攻击 

口令 猜测 是 一 种 出 现 概率 很 高 的 风险 ， 几 乎 不 需要 任何 攻击 工具 ， 利 用 一 个 简单 的 暴 
力 攻击 程序 和 一 个 比较 完善 的 字典 ， 就 可 以 猜测 口令 。 
而 猜测 的 口令 包括 数据 库 口令 、FTP 口令 、 服 务 器 管理 员 账 户口 令 等 。 

(2) SQL 注入 攻击 

SQL 注入 ， 就 是 通过 把 SQL 命令 插入 到 Web 表单 提交 ， 或 输入 域名 或 页 面 请 求 的 查 
询 字符 串 ， 最 终 达 到 欺骗 服务 器 ， 执 行 恶意 SQL 命令 的 目的 。 

形成 SQL 注入 漏洞 的 主要 原因 ， 是 程序 没有 细致 地 过 滤 用 户 输入 的 数据 ,致使 黑客 精 
心 构造 的 非法 的 命令 被 带 入 数据 库 查 询 。 这 样 ， 用 户 就 可 以 提交 一 段 数据 库 查 询 的 代码 ， 
根据 程序 返回 的 结果 ， 获 得 一 些 敏感 的 信息 ， 或 者 控制 整个 服务 器 。 

以 下 演示 一 个 典型 的 Web 应 用 中 的 SQL 注入 漏洞 , 如 图 7-7 所 示 , 该 页 面 只 需要 我 们 
提供 一 个 合法 的 User ID， 即 可 查询 到 相关 的 用 户 信息 。 


User ID: 


[ Submit 


图 7-7 用 户 信息 查询 页 面 
在 这 个 页 面 上 ， 我 们 输入 “2” 进 行 查询 ， 结 果 如 图 7-8 所 示 。 


User ID: 


E Submit 


图 7-8 User ID 为 2 时 的 查询 结果 
可 以 看 到 ， 页 面 上 返回 一 个 正常 的 信息 ， 但 是 当 我 们 输入 “2””( 注 意 ， 这 里 的 2 后 面 
带 着 单 引 号 “*”)， 再 进行 查询 时 ， 页 面 没 能 出 现 正常 的 信息 ， 而 是 给 出 了 一 个 提示 : 


You have an error in your SQL syntax; check the manual that corresponds to 
your MySQL server version for the right syntax to use near ''2''' at linel 


这 个 提示 总 的 意思 是 提示 SQL 查询 语句 执行 过 程 中 出 错 了 ， 这 就 是 一 个 典型 的 SQL 
注入 漏洞 ， 用 户 输入 的 单 引 号 在 没有 做 处 理 的 情况 下 被 带 入 了 SQL 查询 。 如 果 攻 击 者 构造 
一 些 恶意 的 查询 语句 ， 就 能 查 到 许多 数据 库 中 隐秘 的 信息 。 

(3) XSS 跨 站 攻击 

攻击 者 往 Web 页 面 里 插入 恶意 HIML 代码 ， 当 用 户 浏览 该 页 时 ， 嵌 入 其 中 的 HIML 
代码 会 被 执行 ， 从 而 达到 恶意 攻击 用 户 的 特殊 目的 。 

XSS 漏洞 是 Web 应 用 程序 中 最 常见 的 漏洞 之 一 。 如 果 您 的 站 点 没有 预防 XSS 漏洞 的 
固定 方法 ， 那 么 就 存在 XSS 漏洞 。 这 个 利用 XSS 漏洞 的 病毒 之 所 以 具有 重要 意义 ， 是 因 
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为 通常 难以 看 到 XSS 漏洞 的 威胁 ,而 病毒 则 将 其 发 挥 得 淋漓 尽 致 。 XSS 攻击 的 简单 模型 如 


图 7-9 所 示 。 
3 


应 用 程序 


5. 攻击 者 的 JavaScript 丰 
用 户 的 浏览 器 中 执行 © 2. 攻击 者 将 他 自己 准备 的 URL 提 交 给 客户 


6. 用 户 的 浏览 器 问 攻 击 者 发 送 会 话 令 牌 


用 户 
图 7-9 XSS 攻击 的 简单 模型 

XSS 攻击 的 主要 流程 如 下 。 

Q@ 恶意 用 户 在 一 些 公共 区 域 ( 如 建议 提交 表单 或 消息 公共 板 的 输入 表单 ) 输 入 一 些 文 
本 ， 这 些 文本 被 其 他 用 户 看 到 ， 但 这 些 文本 不 仅仅 是 他 们 要 输入 的 文本 ， 同 时 还 包括 一 些 
可 以 在 客户 端 执行 的 脚本 。 例 如 : 

<script> 

thiesvdociment 三 一旦 业 直 安 业 生生 和 直人 

</script> 
恶意 提交 这 个 表单 。 

其 他 用 户 看 到 这 个 包括 恶意 脚本 的 页 面 并 执行 。 
获取 用 户 的 Cookie 等 敏感 信息 。 
使 用 Cookie 等 绕 过 权限 控制 。 


7.3 ”网络 安 全 评估 相关 的 法 律 法 规 
网 络 安全 评估 最 重要 的 是 要 遵循 我 们 国家 相关 的 法 律 、 法 规 。 那 么 ， 我 们 就 很 有 必要 
对 相关 的 法 律 、 法 规 进 行 了 解 和 学 习 。 下 面 ， 我 们 主要 介绍 一 些 安全 评估 的 国际 通用 准则 
和 国内 通用 准则 。 
7.3.1 TCSEC( 可 信 计 算 机 系统 安全 评估 准则 ) 
TCSEC 标准 是 计算 机 系统 安全 评估 的 第 一 个 正式 标准 ， 具 有 划时代 的 意义 。 该 准则 于 


A 


QO@OO 


算 | 1970 年 由 美国 国防 科学 委员 会 提出 , 并 于 1985 年 12 月 由 美国 国防 部 公布 。TCSEC 最 初 只 
是 军用 标准 ， 后 来 延至 民用 领域 。 
络 TCSEC 将 计算 机 系统 的 安全 划分 为 4 个 等 级 、7 个 级 别 。 
安 (1) DD 类 安全 等 级 
加 D 类 安全 等 级 只 包括 D1 一 个 级 别 。D1 的 安全 等 级 最 低 。 D1 系统 只 为 文件 和 用 户 提供 
础 | 安全 保护 。D1 系统 最 普通 的 形式 是 本 地 操作 系统 ， 或 者 是 一 个 完全 没有 保护 的 网 络 。 
(2) C 类 安全 等 级 
该 类 安全 等 级 能 够 提供 审慎 的 保护 ， 并 为 用 户 的 行动 和 责任 提供 审计 能 力 。C 类 安全 
等 级 可 划分 为 Cl 和 C2 两 类 。C1 系统 的 可 信任 运算 基础 体制 (Trusted Computing Base, TCB) 
通过 将 用 户 和 数据 分 开 ， 来 达到 安全 的 目的 。 在 Cl 系统 中 ， 所 有 的 用 户 以 同样 的 敏感 度 
来 处 理 数据 ， 即 用 户 认为 C1 系统 中 的 所 有 文档 都 具有 相同 的 机 密 性 。C2 系统 比 C1 系统 
加 强 了 可 调 的 审慎 控制 。 在 连接 到 网 络 上 时 ，C2 系统 的 用 户 分 别 对 各 自 的 行为 负责 。C2 
系统 通过 登录 过 程 、 安 全 事件 和 资源 隔离 ， 来 增强 这 种 控制 。C2 系统 具有 C1 系统 中 所 有 
的 安全 性 特征 。 
(3) B 类 安全 等 级 
B 类 安全 等 级 可 分 为 B1、B2 和 B3 三 类 。B 类 系统 具有 强制 性 保护 功能 。 强 制 性 保护 
意味 着 如 果 用 户 没有 与 安全 等 级 相连 ， 系 统 就 不 会 让 用 户 存 取 对 象 。 
@ ”Bl 系统 满足 下 列 要 求 : 系统 对 网 络 控制 下 的 每 个 对 象 都 进行 敏感 度 标记 ; 系统 使 
用 敏感 度 标记 作为 所 有 强迫 访问 控制 的 基础 ， 系 统 在 把 导入 的 、 非 标记 的 对 象 放 
入 系统 前 标记 它们 ; 敏感 度 标记 必须 准确 地 表示 其 所 联系 的 对 象 的 安全 级 别 ; 当 
系统 管理 员 创 建 系统 或 者 增加 新 的 通信 通道 或 IO 设备 时 ， 管 理 员 必须 指定 每 个 
通信 通道 和 IO 设备 是 单 级 还 是 多 级 ， 并 且 管 理 员 只 能 手工 改变 指定 ， 单 级 设备 
并 不 保持 传输 信息 的 敏感 度 级 别 ; 所 有 直接 面向 用 户 位 置 的 输出 (无 论 是 虚拟 的 还 
是 物理 的 ) 都 必须 产生 标记 来 指示 关于 输出 对 象 的 敏感 度 ; 系统 必须 使 用 用 户 的 口 
令 或 证 明 来 决定 用 户 的 安全 访问 级 别 ;， 系统 必须 通过 审计 ， 来 记录 未 授权 访问 的 
企图 。 
@  B2 系统 必须 满足 Bl 系统 的 所 有 要 求 : 另外 ，B2 系统 的 管理 员 必 须 使 用 一 个 明确 
的 、 文 档 化 的 安全 策略 模式 作为 系统 的 可 信任 运算 基础 体制 。B2 系统 必须 满足 下 
列 要 求 : 系统 必须 立即 通知 系统 中 的 每 一 个 用 户 所 有 与 之 相关 的 网 络 连接 的 改变 ; 
只 有 用 户 能 够 在 可 信任 通信 路 径 中 进行 初始 化 通信 ; 可 信任 运算 基础 体制 能 够 支 
持 独 立 的 操作 者 和 管理 员 。 
@ ”B3 系统 必须 符合 B2 系统 的 所 有 安全 需求 : B3 系统 具有 很 强 的 监视 委托 管理 访问 
能 力 和 抗 干 扰 能 力 。B3 系统 必须 设 有 安全 管理 员 。B3 系统 应 满足 以 下 要 求 : 除 
了 控制 对 个 别 对 象 的 访问 外 ，B3 必须 产生 一 个 可 读 的 安全 列表 ; 每 个 被 命名 的 对 
象 提 供 对 该 对 象 没有 访问 权 的 用 户 列表 说 明 ; B3 系统 在 进行 任何 操作 前 ， 要 求 用 
户 进行 身份 验证 ; B3 系统 验证 每 个 用 户 ， 同 时 还 会 发 送 一 个 取消 访问 的 审计 跟踪 
消息 ， 设计 者 必须 正确 区 分 可 信任 的 通信 路 径 和 其 他 路 径 ， 可 信任 的 通信 基础 体 
制 为 每 一 个 被 命名 的 对 象 建立 安全 审计 跟踪 ;可 信任 的 运算 基础 体制 支持 独立 的 
安全 管理 。 


(4) A 类 安全 等 级 


A 类 系统 的 安全 级 别 最 高 。 
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目前 ，A 类 安全 等 级 只 包含 Al 一 个 安全 类 别 。Al 类 与 B3 


类 相似 ,对 系统 的 结构 和 策略 不 做 特别 要 求 。A1l 系统 的 显著 特征 是 ， 系 统 的 设计 者 必须 按 
照 一 个 正式 的 设计 规范 来 分 析 系 统 。 对 系统 分 析 后 ， 设 计 者 必须 运用 核对 技术 来 确保 系统 
符合 设计 规范 。Al 系统 必须 满足 下 列 要 求 : 系统 管理 员 必 须 从 开发 者 那里 接收 到 一 个 安全 
策略 的 正式 模型 ， 所 有 的 安装 操作 都 必须 由 系统 管理 员 进 行 ， 系 统管 理 员 进 行 的 每 一 步 安 
装 操作 都 必须 有 正式 文档 。 


7.3.2 CC( 信 息 系统 技术 安全 评估 通用 准则 ) 


国际 通用 准则 (CC) 是 ISO 统一 现 有 的 多 种 准则 的 结果 ， 是 目前 最 全 面 的 评估 准则 。 


CC 认为 安全 的 实现 应 构建 在 如 下 的 层次 框架 之 上 ( 自 下 而 上 )。 

@ ”安全 环境 : 使 用 评估 对 象 时 必须 遵循 的 法 律 和 组 织 安全 政策 ， 及 存在 的 安全 威胁 。 
@ ”安全 目的 : 对 防范 威胁 、 满 足 所 需 的 组 织 安全 政策 的 假设 声明 。 

@ ”评估 对 象 安全 需求 :对 安全 目的 的 细 化 ， 主 要 是 一 组 对 安全 功能 和 保证 的 技术 


需求 。 


@ ”评估 对 象 安全 规范 :对 评估 对 象 实际 实现 或 计划 实现 的 定义 。 
@ ”评估 对 象 安全 实现 ， 与 规范 一 致 的 评估 对 象 实际 实现 。 


7.:3:3 


言 息 系统 安全 划分 准则 
国家 标准 GB17859-99 是 我 国 计 算 机 信息 系统 安全 保护 等 级 保护 系列 标准 的 核心 ,是 实 


行 计算 机 信息 系统 安全 等 级 保护 制度 建设 的 重要 基础 。 
此 标准 将 信息 系统 分 成 5 个 级 别 ， 分 别 是 用 户 自 主 保护 级 、 系 统 审计 保护 级 、 安 全 标记 


如 图 7-10 所 示 。 


保护 级 、 结 构 化 保护 级 和 访问 验证 保护 级 。 信 息 系统 的 5 个 级 别 各 自 适 用 的 信息 安全 控制 

第 -级 ”| 第 = 级 | 第 = 级 | 第 四 级 | 第 五 级 

自主 访问 控制 “| ~ ~ ~ 以 以 

身份 鉴别 ~ ~ ~ ~ ~ 

数据 完整 性 以 ~ ~ 以 以 

容 体 重用 ~ ~ ~ ~ 

审计 以 ~ ~ ~ 

强制 访问 控制 ~ ~ ~ 

标记 以 以 ~ 

隐 若 信道 分 析 以 ~ 

可 信 路 径 以 以 

可 信和 恢复 ~ 
7-10 信息 系统 的 5 个 级 别 


Q@_ 


机 7.3.4 信息 系统 安全 有 关 的 标准 


络 随 着 CC 标准 的 不 断 普及 , 我 国 也 在 2001 年 发 布 了 GB/T18336 标准 , 这 一 标准 等 同 采 
六 用 ISO/AEC15408-3: 《信息 技术 安全 技术 信息 技术 安全 性 评估 标准 》。 


侧 7.4 ”网 络 安全 相关 的 法 律 知识 


7.4.1 网 络 服务 机 构 设立 的 条 件 


网 络 服务 机 构 的 设立 ， 应 具备 以 下 条 件 : 

e@ 是 依法 设立 的 企业 法 人 或 者 事业 法 人 。 

@ ”具有 相应 的 计算 机 信息 网 络 、 装 备 ， 以 及 相应 的 技术 人 员 和 管理 人 员 。 
e@ ”具有 健全 的 安全 保密 管理 制度 和 技术 保护 措施 。 

e ”符合 法 律 和 国务 院 规定 的 其 他 条 件 。 


7.4.2 网 络 服务 业 的 对 口 管理 


《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 规 定 ， 对 计算 机 信息 系统 中 发 生 的 
案件 ， 有 关 使 用 单位 应 当 在 24 小 时 内 向 当地 县 级 以 上 人 民政 府 公安 机 关 报 告 。 对 计算 机 病 
毒 和 危害 社会 公共 安全 的 其 他 有 害 数据 的 防治 研究 工作 ， 由 公安 部 归口 管理 。 国 家 对 计算 
机 信息 系统 安全 专用 产品 的 销售 实行 许可 证 制度 ， 具 体 办 法 由 公安 部 会 同 有 关 部 门 制定 。 


7.4.3 互联 网 出 入 口 信道 管理 


根据 《中 华人 民 共 和 国 计 算 机 网 络 国际 联网 管理 暂行 规定 》 的 要 求 ， 计 算 机 信息 网 络 
直接 进行 国际 联网 时 ， 必 须 使 用 邮电 部 国家 公用 电信 网 提供 的 国际 出 入 口 信道 。 任 何 单位 
和 个 人 不 得 自行 建立 或 者 使 用 其 他 信道 进行 国际 联网 。 已 经 建立 的 互联 网 络 ， 根 据 国务 院 
有 关 规 定 调整 后 ， 分 别 由 邮电 部 、 电 子 工业 部 ， 国 家 教育 委员 会 和 中 国 科学 院 管理 。 新 建 
互联 网 络 必须 报 经 国务 院 批准 。 


. 简 述 网 络 安全 评估 的 概念 。 
. 完整 的 网 络 风险 分 析 包 括 哪 些 方面 ? 
. 简要 说 明 系 统 层 、 网 络 层 、 应 用 层 和 管理 层 分 别 存在 哪些 安全 风险 。 
. 简要 说 明 网 络 系统 常见 的 安全 隐患 。 
. 举例 说 明 网 络 安全 评估 的 方法 。 
. 详细 说 明 黑 使 测试 和 白 盒 测试 的 区 别 。 
7. 自行 搭建 一 个 服务 器 系统 ， 用 X-Scan 软件 进行 测试 ， 如 果 存 在 安全 漏洞 ， 试 说 明 
漏洞 的 解决 方案 。 
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8. 举例 说 明 典 型 的 黑客 攻击 手段 ， 如 果 可 能 ， 模 拟 这 一 攻击 过 程 。 
9. 简 述 TCSEC 标准 的 分 级 情况 。 
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随 着 因特网 的 普及 、 电 子 商务 的 兴起 ， 全 球 经 济 信息 化 正 逐 渐 向 我 们 走 来 。 显 然 ， 信 
息 技术 成 了 人 们 生活 中 不 可 或 缺 的 组 成 部 分 , 所 以 信息 的 安全 性 就 成 了 不 得 不 关注 的 问题 。 
作为 保障 信息 安全 的 重要 手段 ， 身 份 认证 与 访问 控制 就 成 了 必须 了 解 的 知识 。 

身份 认证 技术 是 指 计 算 机 及 网 络 系统 确认 操作 者 身份 的 过 程 中 所 应 用 的 技术 手段 ， 通 
常 是 将 某 个 身份 与 某 个 主体 进行 确认 并 绑 定 。 访 问 控制 机 制 是 按照 用 户 身份 及 其 所 归属 的 
某 预 定义 组 ， 限 制 用 户 对 某 些 信息 项 的 访问 ， 或 限制 对 某 些 控制 功能 的 使 用 。 访 问 控制 通 
常用 于 系统 管理 员 控 制 用 户 对 服务 器 、 目 录 、 文 件 等 网 络 资源 的 访问 。 

访问 控制 通过 类 似 访问 控制 列表 ， 将 控制 访问 的 数据 与 客体 进行 绑 定 ， 访 问 能 力 表 则 
将 这 种 数据 与 主体 进行 绑 定 ， 用 锁 与 钥匙 在 主体 与 客体 之 间 分 配 这 种 数据 。 


8.1 身份 认证 


身份 认证 技术 是 为 了 在 计算 机 网 络 中 确认 操作 者 身份 而 产生 的 解决 方法 。 计 算 机 网 络 
世界 中 的 一 切 信息 (包括 用 户 的 身份 信息 ) 都 是 通过 一 组 特定 的 数据 来 表示 的 。 计 算 机 只 能 
识别 用 户 的 数字 身份 ， 所 以 对 用 户 的 授权 也 是 针对 用 户 数字 身份 的 授权 。 

如 何 保证 以 数字 身份 进行 操作 的 操作 者 就 是 这 个 数字 身份 的 合法 拥有 者 呢 ? 也 就 是 
说 ， 如 何 保证 操作 者 的 物理 身份 与 数字 身份 相对 应 ?身份 认证 技术 就 是 为 了 解决 这 个 问题 
应 运 而 生 的 。 作 为 保护 网 络 资产 的 第 一 道 关口 ， 身 份 认 证 有 着 举足轻重 的 作用 。 


8.1.1 身份 认证 概述 


身份 认证 是 系统 审查 用 户 身份 的 过 程 ， 用 来 确定 用 户 是 否 具有 对 某 种 资源 的 访问 和 使 
用 权限 。 身 份 认证 通过 标识 和 鉴别 用 户 的 身份 ， 提 供 一 种 判别 和 确认 用 户 身 份 的 机 制 。 

计算 机 网 络 中 的 身份 认证 ， 是 通过 将 一 个 证 据 与 实体 身份 绑 定 来 实现 的 。 实 体 可 能 是 
用 户 、 主 机 、 应 用 程序 ， 甚 至 是 进程 。 

身份 认证 技术 在 信息 安全 中 处 于 非常 重要 的 地 位 ， 是 其 他 安全 机 制 的 基础 。 只 有 实现 
了 有 效 的 身份 认证 ， 才 能 保证 访问 控制 、 安 全 审计 、 入 侵 防 范 等 安全 机 制 的 有 效 实施 。 

在 真实 世界 中 ， 验 证 一 个 用 户 的 身份 主要 通过 以 下 三 种 方式 : 

@ ”所 知道 的 。 根 据 用 户 所 知道 的 信息 来 证 明 用 户 的 身份 ， 比 如 暗号 。 

@ ”所 拥有 的 。 根 据 用 户 所 拥有 的 东西 来 证 明 用 户 的 身份 ， 比 如 个 人 的 印章。 

@ 本 身 的 特征 。 直 接 根据 用 户 独一无二 的 体态 特征 来 证 明 用户 的 身份 ， 例 如 人 的 指 

纹 、 笔 迹 、DNA、 视 网 膜 及 身体 的 特殊 标志 等 。 

在 信息 系统 中 ， 对 用 户 的 身份 认证 手段 大 体 也 可 以 分 为 这 三 种 。 仅 通过 一 个 条 件 的 符 
合 来 证 明 一 个 人 的 身份 ， 称 为 单 因子 认证 ， 由 于 仅 使 用 一 种 条 件 判 断 用 户 的 身份 ， 很 容易 
被 仿冒 。 我 们 可 以 通过 组 合 两 种 不 同 的 条 件 ， 来 证 明 一 个 人 的 身份 ， 称 为 双 因 子 认证 。 
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身份 认证 技术 从 是 否 使 用 硬件 来 看 ， 可 以 分 为 软件 认证 和 硬件 认证 ; 从 认证 所 需要 的 
验证 条 件 来 看 ， 可 以 分 为 单 因子 认证 和 双 因 子 认证 ;从 认证 信息 来 看 ， 可 以 分 为 静态 认证 
和 动态 认证 。 身 份 认证 技术 的 发 展 ， 经 历 了 从 软件 认证 到 硬件 认证 ， 从 单 因子 认证 到 双 因 
子 认证 ， 从 静态 认证 到 动态 认证 的 过 程 。 

认证 通常 由 两 类 实体 组 成 : 一 类 实体 是 用 户 ， 他 们 需要 向 另 一 类 实体 证 明 自己 的 身份 ; 
另 一 类 实体 是 验证 者 ， 他 们 要 验证 用 户 的 身份 。 


8.1.2 常用 的 身份 认证 技术 


正如 前 面 所 述 ， 身 份 认证 的 方法 不 尽 相 同 ， 对 应 的 认证 技术 也 多 种 多 样 。 下 面 将 介绍 
几 种 当前 比较 常用 的 身份 认证 技术 。 


1， 用 户 名 /密码 方式 


用 户 名 /密码 是 最 简单 ， 也 是 最 常用 的 身份 认证 方法 ， 它 是 基于 “what you know” 的 验 
证 手段 。 每 个 用 户 的 密码 都 是 这 个 用 户 自己 设 定 的 ， 只 有 他 自己 知道 ， 只 要 能 够 正确 输入 
密码 ， 系 统 就 认为 是 合法 用 户 ， 所 以 也 称 这 种 认证 方法 为 口令 认证 。 例 如 ， 操 作 系 统 及 诸 
如 邮件 系统 等 一 些 应 用 系统 的 登录 和 权限 管理 ， 都 是 基于 口令 认证 的 。 其 优势 在 于 实现 的 
简单 性 ， 无 须 任何 附加 设备 ， 成 本 低 、 速 度 快 ， 但 口令 认证 的 安全 性 较 差 。 人 们 为 了 记 住 
诸多 的 口令 ， 往 往 选择 一 些 易 记 口 令 ， 而 穷 举 攻击 和 字典 攻击 对 此 类 弱 口 令 非 党 有效。 特 
别 是 随 着 计算 机 及 网 络 分 布 计算 能 力 的 提高 ， 简 单 的 口令 系统 很 难 抵抗 穷 举 攻击 。 使 用 口 
令 的 另 一 个 不 安全 因素 来 源 于 网 络 传输 ， 许 多 系统 的 口令 是 以 未 加 密 的 明文 形式 在 网 上 传 
送 的 ， 窃 听 者 通过 分 析 截 获 的 信息 包 ， 可 以 轻而易举 地 获得 用 户 的 账号 和 口令 。 

通过 一 些 措施 ， 可 以 有 效 地 改进 口令 认证 的 安全 性 。 如 通过 增加 口令 的 强度 ， 提 高 抗 
穷 举 攻击 和 字典 攻击 的 能 力 ， 将 口令 加 密 ， 可 防止 在 传输 中 被 窃听 ; 采用 动态 的 一 次 性 口 
令 系 统 ， 可 以 防止 口令 的 重 放 等 。 


2.1C 卡 认证 


IC 卡 也 称 智 能 卡 ， 一 般 是 形状 与 信用 卡 类 似 的 矩形 塑料 片 ， 也 有 许多 其 他 的 形式 ， 如 
钥匙 状 令 牌 、 移 动 电话 中 的 SIM 芯片 。 它 们 的 共同 特点 是 : 包含 一 个 内 置 的 可 编程 的 处 理 
器 ， 能 够 安全 地 存储 数据 。 

智能 卡 具有 硬件 加 密 功能 ， 有 较 高 的 安全 性 。 每 个 用 户 持 有 一 张 智 能 卡 ， 智 能 卡 存储 
用 户 个 性 化 的 秘密 信息 ， 同 时 ， 在 验证 服务 器 中 也 存放 该 秘密 信息 。 进 行 认证 时 ， 用 户 输 
入 PIN( 个 人 身份 识别 码 )， 智能 卡 认证 PIN 成 功 后 ， 即 可 读 出 智能 卡 中 的 秘密 信息 ， 进 而 利 
用 该 秘密 信息 与 主机 之 间 进 行 认证 。 但 对 于 智能 卡 认 证 ， 需 要 在 每 个 认证 端 添加 读 卡 设备 ， 
增加 了 硬件 成 本 ， 不 像 口令 认证 那样 方便 易 行 。 

基于 智能 卡 的 认证 方式 是 一 种 双 因 素 的 认证 方式 PIN+ 智 能 卡 )， 除 非 PIN 或 智能 卡 被 
同时 窃取 ， 和 否则 用 户 不 会 被 冒充 。 智 能 卡 提供 硬件 保护 措施 和 加 密 算 法 ， 可 以 利用 这 些 功 
能 加 强 安全 性 能 ， 例 如 ， 可 以 把 智能 卡 设置 成 用 户 只 能 得 到 加 密 后 的 某 个 秘密 信息 ， 从 而 
防止 秘密 信息 的 泄露 。 


3. 生物 特征 认证 


生物 特征 认证 是 指 采用 每 个 人 独一无二 的 生物 特征 来 验证 用 户 身 份 的 技术 ， 常 见 的 有 
指纹 识别 (图 8-1(a))、 声 音 识别 、 虹 膜 识别 (图 8-1(b)) 等 。 


人 冤 


(a) 指纹 识别 (b) 虹膜 识别 


8-1 常见 的 生物 特征 认证 


从 理论 上 说 ， 生 物 特征 认证 是 最 可 靠 的 身份 认证 方式 ， 因 为 它 直接 使 用 人 的 物理 特征 
来 表示 一 个 人 的 数字 身份 ， 不 同 的 人 具有 相同 生物 特征 的 可 能 性 可 以 忽略 不 计 ， 因 此 几乎 
不 可 能 被 仿冒 。 作 为 身份 识别 的 依据 ， 指 纹 的 应 用 已 经 比较 广泛 ,然而 指纹 识别 易 受 脱皮 、 
出 汗 、 干 燥 等 外 界 条 件 的 影响 ， 并 且 这 种 接触 式 的 识别 方法 要 求 用 户 直接 接触 公用 的 传 感 
器 ， 给 使 用 者 带 来 了 不 便 。 生 物 特征 认证 基于 生物 特征 识别 技术 ， 受 到 现 有 的 生物 特征 识 
别 技术 成 熟 度 的 影响 ， 采 用 生物 特征 认证 还 具有 较 大 的 局 限 性 。 首 先 ， 生 物 特征 识别 的 准 
确 性 和 稳定 性 还 有 待 提高 ， 特 别 是 如 果 用 户 身体 受到 伤 病 或 污渍 的 影响 ， 往 往 导致 无 法 正 
常识 别 ， 造 成 合法 用 户 无 法 登录 的 情况 。 其 次 ， 由 于 研发 投入 较 大 和 产量 较 小 的 原因 ， 生 
物 特征 认证 系统 的 成 本 非常 高 ， 目 前 只 适合 于 一 些 安全 性 要 求 非常 高 的 场合 ， 如 银行 、 部 
队 等 使 用 ， 还 无 法 做 到 大 面积 推广 。 

4. USB Key 认证 


USB Key 身份 认证 是 采用 软 硬 件 相 结合 、 一 次 一 密 的 强 双 因子 认证 模式 。USB Key 是 
一 种 USB 接口 的 硬件 设备 , 它 内 置 单片机 或 智能 卡 芯 片 , 可 以 存储 用 户 的 密 钥 或 数字 证 书 
利用 USB Key 内 置 的 密码 算法 实现 对 用 户 身份 的 认证 。 USB Key 是 从 智能 卡 技术 上 发 展 而 
来 的 ， 是 结合 了 现代 密码 技术 、 智 能 卡 技术 和 USB 技术 的 新 一 代 身份 认证 产品 ， 是 网 络 用 
户 身份 识别 和 数据 保护 的 良好 载体 ， 其 操作 系统 的 标准 与 智能 卡 兼容 ,其 USB 的 通信 方式 
成 为 其 最 大 优势 。 传 统 的 智能 卡 需 要 读 卡 器 作为 通信 接口 ， 其 串口 通信 方式 也 限制 了 数据 
的 传输 速度 ， 而 USB 传输 速度 远 高 于 串口 。 

USB Key 具有 双重 验证 机 制 , 即 用 户 PIN 码 和 USB Key 硬件 标识 , 假如 用 户 丢 了 USB 
Key， 只 要 PIN 码 没 有 被 攻击 者 窃取 ， 及 时 地 将 USB 注销 即 可 。 假 如 攻击 者 窃 得 密 钥 ， 但 
是 没有 USB Key 硬件 ， 也 无 法 进行 认证 。 另 外 ，USB Key 体型 小 巧 ， 易 于 携带 ， 支 持 热 插 
拔 ， 使 用 方便 。USB Key 作为 网 络 用 户 身份 识别 和 数据 保护 的 “电子 钥匙 ”， 正 在 被 越 来 
越 多 的 用 户 所 认识 和 使 用 。 

USB Key 认证 方式 与 前 面 提 到 的 IC 卡 认证 方式 都 是 基于 物理 介质 的 身份 认证 方式 ,也 
是 目前 广泛 应 用 的 证 实 身份 的 手段 ， 在 实际 使 用 过 程 中 ， 通 常 与 其 他 技术 一 起 使 用 。 例 如 ， 
银行 卡 必须 有 口令 ， 即 用 户 的 PIN 码 ， 才 能 从 ATM 机 提取 现款 。 网 银 的 USB Key 认证 过 
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程 中 ，USB Key 也 必须 与 用 户 的 PIN 码 一 起 使 用 ， 才 能 登录 网 银 ， 进 行 相应 的 操作 。 身 份 
认证 令 牌 的 主要 优点 就 是 能 够 存储 足够 大 的 秘密 信息 ， 而 且 也 不 容易 被 复制 ， 它 需要 诸如 
磁卡 、IC 卡 等 特殊 的 硬件 。IC 卡 、USB Key 等 身份 令 牌 存在 遗失 或 被 盗 的 情况 ,使 用 口令 
来 保护 它 ， 就 可 以 增加 安全 性 。 


5.， 动态 口令 /动态 密码 


动态 口令 技术 是 一 种 让 用 户 的 密码 按照 时 间或 使 用 次 数 不 断 动态 变化 ， 每 个 密码 只 使 
用 一 次 的 技术 ， 用 于 支持 “ 某 人 拥有 某 种 东西 ”的 认证 。 它 采用 一 种 称 为 动态 令 牌 的 专用 
硬件 ， 内 置 电源 、 密 码 生 成 芯片 和 显示 屏 ， 密 码 生成 芯片 运行 专门 的 密码 算法 ， 根 据 当 前 
时 间或 使 用 次 数 ， 生 成 当前 密码 ， 并 显示 在 显示 屏 上 。 认 证 服务 器 采用 相同 的 算法 计算 当 
前 的 有 效 密码 。 用 户 使 用 时 ， 只 需要 将 动态 令 牌 上 显示 的 当前 密码 输入 客户 端 计算 机 ， 即 
可 实现 身份 的 确认 。 由 于 每 次 使 用 的 密码 必须 由 动态 令 牌 产生 ， 只 有 合法 用 户 才 持 有 该 硬 
件 ， 所 以 ， 只 要 密码 验证 通过 ， 就 可 以 认为 该 用 户 的 身份 是 可 靠 的 。 而 用 户 每 次 使 用 的 密 
码 都 不 相同 ， 即 使 黑客 截获 了 一 次 密码 ， 也 无 法 利用 这 个 密码 来 仿冒 合法 用 户 的 身份 。 

动态 口令 认证 与 静态 口令 认证 相 比 ， 安 全 性 方面 提高 了 不 少 。 但 是 ， 动 态 口令 技术 也 
不 能 满足 可 信 网 络 的 需要 。 动 态 口令 技术 采用 一 次 一 密 的 方法 ， 有 效 地 保证 了 用 户 身份 的 
安全 性 。 但 是 ， 如 果 客 户 端 硬件 与 服务 器 端 程序 的 时 间或 次 数 不 能 保持 良好 的 同步 ， 就 可 
能 发 生 合 法 用 户 无 法 登录 的 问题 。 并 且 ， 用 户 每 次 登录 时 ， 还 需要 通过 键盘 输入 一 长 串 无 
规律 的 密码 ， 一 旦 看 错 ， 或 输 错 ， 就 要 重新 来 过 ， 用 户 使 用 起 来 非常 不 方便 。 

6.， 数字 签名 


数字 签名 又 称 电子 加 密 ， 可 以 区 分 真实 数据 与 伪造 、 被 算 改 过 的 数据 。 数 字 证 明 机 制 
提供 利用 公开 密 钥 进行 验证 的 方法 。 主 要 应 用 在 电子 商务 ， 网 上 银行 等 领域 。 详 细 内 容 见 
第 9 章 “ 密 码 学 ”数字 签名 一 节 。 

8.1.3 常用 的 身份 认证 机 制 
下 面 讨论 几 种 常用 的 身份 认证 机 制 ， 并 对 它们 的 安全 性 进行 分 析 。 
1. RADIUS 认证 机 制 


RADIUS(Remote Authentication Dial In User Service) 协 议 最 初 是 由 Livingston 公司 提出 
的 ， 最 初 的 目的 是 为 拨号 用 户 进行 认证 和 计 费 。 后 来 ， 经 过 多 次 改进 ， 形 成 了 一 项 通用 的 
认证 计 费 协议 。RADIUS 认证 要 用 到 基于 挑战 /应 答 (Challenge/Response) 的 认证 方式 。 

RADIUS 是 一 种 C/S 结构 的 协议 , 它 的 客户 端 最 初 就 是 NAS(Net Access Server) 服 务 器 ， 
任何 运行 RADIUS 客户 端 软件 的 计算 机 都 可 以 成 为 RADIUS 的 客户 端 。RADIUS 协议 认证 
机 制 灵 活 ， 可 以 采用 PAP、CHAP 或 者 Unix 登录 认证 等 多 种 方式 。 

RADIUS 是 一 种 可 扩展 的 协议 ， 它 进行 的 全 部 工作 都 是 基于 Attribute-Length-Value 的 
向 量 进行 的 。RADIUS 也 支持 厂商 扩充 厂家 专 有 属性 。 

RADIUS 的 基本 工作 原理 是 : 用 户 接 入 NAS，NAS 使 用 Access-Require 数 据 包 ， 向 
RADIUS 服务 器 提交 用 户 信息 , 包括 用 户 名 、 密码 等 相关 信息 , 其 中 , 用 户 密码 是 经 过 MD5 


LE 


eh 


PF 


加 密 的 ， 双 方 使 用 共享 密 钥 ， 这 个 密 钥 不 经 过 网 络 传播 ; RADIUS 服务 器 对 用 户 名 和 密码 
的 合法 性 进行 检验 ， 必 要 时 ， 可 以 提出 一 个 Challenge， 要 求 进一步 对 用 户 认证 ， 也 可 以 对 
NAS 进行 类 似 的 认证 ; 如 果 合 法 ， 给 NAS 返回 Access-Accept 数据 包 ， 人 允许 用 户 进行 下 一 
步 工 作 , 否则 , 返回 Access-Reject 数据 包 , 拒绝 用 户 访问 ; 如 果 人 允许 访问 , NAS 向 RADIUS 
服务 器 提出 计 费 请 求 Account-Require，RADIUS 服务 器 响应 Account-Accept， 对 用 户 的 计 
费 开始 ， 同 时 ， 用 户 可 以 进行 自己 的 相关 操作 。 

RADIUS 服务 器 和 NAS 服务 器 通过 UDP 协议 进行 通信 ，RADIUS 服务 器 的 1812 端 口 
负责 认证 ，1813 端口 负责 计 费 工作 。 采 用 UDP 的 基本 考虑 ， 是 因为 NAS 和 了 RADIUS 服务 
器 大 多 在 同一 个 局 域 网 中 ,使 用 UDP 更 加 快捷 方便 , 而且 UDP 是 无 连接 的 ,会 减轻 RADIUS 
的 压力 ， 也 更 安全 。 

RADIUS 协议 还 规定 了 重 传 机 制 。 如果 NAS 向 某 个 RADIUS 服务 器 提交 请 求 ， 没 有 收 
到 返回 信息 ， 那 么 ， 可 以 要 求 备 份 RADIUS 服务 器 重 传 。 由 于 有 多 个 备份 RADIUS 服务 器 ， 
因此 ，NAS 进行 重 传 的 时 候 ， 可 以 采用 轮 询 的 方法 。 如 果 备 份 RADIUS 服务 器 的 密 钥 与 以 
前 RADIUS 服务 器 的 密 钥 不 同 ， 则 需要 重新 进行 认证 。 

RADIUS 协议 应 用 范围 很 广 ， 包括 普通 电话 、 上 网 业务 计 费 ,对 VPN 的 支持 可 以 使 不 
同 的 拨 入 服务 器 的 用 户 具 有 不 同 的 权限 。 


2. Kerberos 认证 机 制 
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Kerberos 是 为 基于 TCP/IP 的 Intemet 和 Intranet 设计 的 安全 认证 协议 ， 它 工作 在 
Client/Server 模式 下 ,以 可 信赖 的 第 三 方 KDC( 密 钥 分 配 中 心 ) 实 现 用 户 身份 认证 。 在 认证 过 
程 中 ，Kerberos 使 用 对 称 密 钥 加 密 算法 ， 提 供 了 计算 机 网 络 中 通信 双方 之 间 的 身份 认证 。 
Kerberos 设计 的 目的 ， 是 解决 在 分 布 式 网 络 环境 中 用 户 访问 网 络 资源 时 的 安全 问题 。 

由 于 Kerberos 是 基于 对 称 加 密 来 实现 认证 的 ， 这 就 涉及 到 加 密 密 钥 对 的 产生 和 管理 问 
题 ,在 Kerberos 中 , 会 对 每 一 个 用 户 分 配 一 个 密 钥 对 , 如 果 网 络 中 存在 N 个 用 户 , 则 Kerberos 
系统 会 保存 和 维护 N 个 密 钥 对 。 同 时 ， 在 Kerberos 系统 中 ， 只 要 求 使 用 对 称 密码 ， 而 没有 
对 具体 算法 和 标准 做 限定 ， 这 样 ， 便 于 Kerberos 协议 的 推广 和 应 用 。 如 今 ，Kerberos 已 广 
泛 应 用 于 Intemet 和 Intranet 服务 的 安全 访问 ， 具 有 高 度 的 安全 性 、 可 靠 性 、 透 明 性 和 可 伸 

一 个 完整 的 Kerberos 系统 主要 由 以 下 几 个 部 分 组 成 。 

@ Client: 用 户 (工作 站 )。 

@ Server: 服务 器 。 

@ AS: 认证 服务 器 。 

@ TGS: 票据 许可 服务 器 。 

下 面 结 合 图 8-2， 简 要 介绍 Kerberos 系统 的 身份 认证 的 形式 化 过 程 。 

(1) 形式 化 过 程 中 涉及 的 元 素 

在 开始 之 前 ， 首 先 对 过 程 中 涉及 的 元 素 做 一 个 定义 ， 有 具体 如 下 。 

@ 开 : 密 钥 。 

@ AS: 认证 服务 器 。 

外 C: 用 户 。 
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TGS: 票据 许可 服务 器 。 

TGSAsc: 票据 许可 票据 。 

S: 应 用 服务 器 ， 如 Web 服务 器 、 数 据 库 服务 器 等 。 
{..….}Kn: 表示 用 Ks 加密 大 括号 中 的 内 容 。 


密 钥 分 配 中 心 KDC) 


spr 


应 用 服务 器 
8-2 ”Kerberos 系统 身份 认证 的 形式 化 过 程 


(2) Kerberos 系统 的 身份 认证 的 形式 化 过 程 

Kerberos 的 身份 认证 的 形式 化 过 程 大 致 可 分 为 如 下 几 个 步骤 。 

@ 用 户 C 从 认证 服务 器 AS 获得 通信 凭据 {区 , C}Kas, 该 凭据 可 以 理解 为 由 认证 服务 
器 签发 的 一 次 性 电子 身份 证 或 电子 护照 。 

@ 用户 C 使 用 第 一 步 得 到 的 凭据 {Ki, C}Kas， 申 请 票据 许可 服务 器 TGS 的 通信 凭据 
{区 2, C}Kres， 该 凭据 可 理解 为 认证 服务 器 为 用 户 签发 了 票据 许可 服务 器 的 电子 介绍 信 。 

图 用 户 向 票据 许可 服务 器 TGS 申请 授权 凭证 TGSasc( 即 票据 许可 票据 )。 

@ 票据 许可 服务 器 根据 认证 服务 器 签发 的 介绍 信 ， 为 该 用 户 签发 一 次 性 的 出 境 许 可 
( 即 票 据 许 可 票据 )。 

@ 用 户 申请 能 够 向 服务 器 S 证 实 自己 身份 、 并 得 到 授权 许可 的 凭证 {TGSasc, Ka}Ks， 
该 凭证 可 理解 为 应 用 服务 器 为 该 用 户 签发 了 一 次 性 的 入 境 签证 。 

@ ”用 户 C 获得 与 应 用 服务 器 S 通信 的 密 钥 Ks, 该 密 钥 可 以 理解 为 应 用 服务 器 为 用 户 
签发 了 一 次 性 的 境内 通行 证 。 

3. 基于 公 钥 的 认证 机 制 


目前 , Intemet 上 也 用 基于 公共 密 钥 的 安全 策略 进行 身份 认证 , 具体 就 是 使 用 符合 X.509 
的 身份 证 明 。 这 种 方法 须 有 第 三 方 的 证 明 授权 (CA) 中 心 为 客户 签发 身份 证 明 。 客 户 和 服务 
器 各 自从 CA 获取 证 明 ， 并 且 信 任 该 证 明 授权 中 心 。 会 话 和 通信 时 ， 首 先 交换 身份 证 明 
其 中 包含 了 将 各 自 的 公 钥 交 给 对 方 ， 然 后 才 用 对 方 的 公 钥 验 证 对 方 的 数字 签名 、 交 换 通 信 
的 加 密 密 钥 等 。 在 确定 是 否 接受 对 方 的 身份 证 明 时 ， 还 需 检查 有 关 服务 器 ， 以 确认 该 证 明 
是 否 有 效 ( 如 图 8-3 所 示 )。 

基于 公共 密 钥 的 认证 过 程 : 在 PKMS 和 使 用 支持 SSL、S-HTTP 的 浏览 器 用 户 之 间 的 


A 


算 | 身份 验证 (如 图 8-4 所 示 )， 是 建立 在 公开 密 钥 加 密 数字 签名 和 授权 证 明之 上 的 。 


网 证 明 授 权 CA 证 明 授 权 CA 
络 | 
安 
全 . MN 。 
基 从 CA 处 获得 证 明 
人 而 

为 认证 交换 证 明 (访问 


控制 的 用 户 赁 证 ) 
基于 公 钥 
的 客户 满 


证 明 接 受 或 撤销 表 证 明 接受 或 撤销 表 


服务 器 〈 在 线 服务 ) 服务 器 (在线 服务 》 
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| 和 SSL 安全 性 支 人 和 由 “ 


SSL 浏 览 器 公 钥 管 理 服 务 器 认证 服务 器 
图 8-4 SSL 浏览 器 、PKMS、 认 证 服务 器 的 交互 

数字 签名 工作 如 下 。 

(1) 用 户 产 生 一 段 文字 信息 ， 然 后 对 这 段 文字 信息 进行 单 向 不 可 逆 的 变换 。 用 户 再 用 
自己 的 秘密 密 钥 ， 对 生成 的 文字 变换 进行 加 密 ， 并 将 原始 的 文字 信息 和 加 密 后 的 文字 变换 
结果 ， 传 送 给 指定 的 接收 者 。 这 段 经 过 加 密 的 文字 变换 结果 ， 就 被 称 作 数字 签名 。 

(2) 文字 信息 和 加 密 后 的 文字 变换 的 接收 者 ， 将 收 到 的 文字 信息 进行 同样 的 单项 不 可 
逆 的 变换 ， 同 时 ， 也 用 发 送 方 的 公开 密 钥 ， 对 加 密 的 文字 变换 进行 解密 。 如 果 解 密 后 的 文 
字 变 换 和 接收 方 自己 产生 的 文字 变换 一 致 ， 那 么 接收 方 就 可 以 相信 对 方 的 身份 ， 因 为 只 有 
发 送 方 的 密 钥 能 够 产生 加 密 后 的 文字 变换 。 

(3) 要 向 发 送 方 验证 接收 方 的 身份 ， 接收 方 根据 自己 的 密 钥 , 创建 一 个 新 的 数字 签名 ， 
然后 重复 上 述 过 程 。 

一 旦 两 个 用 户 互 相 验 证 了 身份 , 他 们 就 可 交换 用 来 加 密 数 据 的 密 钥 (如 DES 加 密 密 钥 )。 
公开 密 钥 加 密 方 法 对 于 大 量 的 数据 加 密 来 说 ， 速 度 太 慢 。 浏 览 器 应 该 能 够 在 类 似 的 交换 过 
程 中 使 用 它 的 公开 /秘密 密 钥 组 合 对 ， 来 验证 它 的 身份 ， 但 是 ， 目 前 还 没有 出 现 支 持 浏览 
身份 验证 的 产品 。 基于 DCE/Kerberos 和 公共 密 钥 的 用 户 身份 认证 是 非常 安全 的 用 户 认证 形 
式 ， 但是， 它们 实现 起 来 比较 复杂 ， 要 求 通信 的 次 数 多 ， 而 且 计 算 量 较 大 。 

4. 基于 挑战 /应 答 的 认证 机 制 


很 显然 , 这 种 身份 认证 机 制 每 次 认证 时 , 认证 服务 器 端 都 给 客户 端 发 送 一 个 不 同 的 “ 挑 
战 ” 字 串 ， 客 户 端 程序 收 到 这 个 “挑战 ” 字 串 后 ， 做 出 相应 的 “应 答 ”。 一 个 典型 的 认证 
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过 程 如 图 8-5 所 示 。 有 具体 认证 过 程 如 下 。 


(1) 客户 向 认证 服务 器 发 出 请 求 ， 要 求 进行 身份 a 
客 a 
[月 


认证 。 

(2) 认证 服务 器 从 用 户 数据 库 中 查询 用 户 是 否 是 名 i 
合法 的 用 户 ， 若 不 是 ， 则 不 做 进一步 处 理 。 志 

G) 认证 服务 器 内 部 产生 一 个 随机 数 ， 作 为 “所 。 祝 paseie 
问 ”， 发 送 给 客户 。 窜 户 |a 


(4) 客户 将 用 户 名 字 与 随机 数 合并 ， 使 用 单 向 。 品 。AEawrem s 。 
Hash 函数 (例如 MD5 算法 ) 生 成 一 个 字 节 串 作为 应 答 。 。 天 

(5) 认证 服务 器 将 应 答 串 与 自己 的 计算 结果 比 
较 ， 若 二 者 相同 ， 则 通过 一 次 认证 ， 否 则 ， 认 证 失败 。 

(6) 认证 服务 器 通知 客户 认证 成 功 或 失败 。 以 后 
的 认证 由 客户 不 定时 地 发 起 ， 过 程 中 没有 了 客户 认证 请 求 一 步 。 两 次 认证 的 时 间 问 隔 不 能 
太 短 ， 否 则 就 给 网 络 、 客 户 和 认证 服务 器 带 来 太 大 的 开销 ， 也 不 能 太 长 ， 否 则 ， 不 能 保证 
用 户 不 被 他 人 盗用 他 地址 ， 一 般 定 为 1~2 分 钟 。 


8.2 访问 控制 


随 着 计算 机 技术 ， 特 别 是 网 络 技术 的 发 展 ， 大 型 网 络 应 用 系统 或 数据 库 管 理 系统 所 面 
临 的 一 个 难题 ， 就 是 日 益 复 杂 的 数据 资源 的 安全 管理 。 国 际 标准 化 组 织 ISO 在 网 络 安全 标 
准 (ISO7498-2) 中 定义 的 5 个 层次 型 安全 服务 中 ， 访 问 控制 是 其 中 一 个 重要 的 组 成 部 分 。 在 
网 络 安全 环境 中 ， 访 问 控制 能 够 限制 和 控制 通过 通信 链 路 对 主机 系统 和 应 用 的 访问 。 为 了 
实现 这 种 控制 ， 每 个 想 获得 访问 的 实体 都 必须 经 过 鉴别 或 身份 验证 ， 这 样 ， 才 能 根据 个 体 
来 制定 访问 权利 。 访 问 控制 服务 用 于 防止 未 授权 用 户 非法 使 用 系统 资源 。 它 包括 用 户 身份 
验证 ， 也 包括 用 户 的 权限 确认 。 这 种 保护 服务 可 提供 给 用 户 组 。 


8.2.1 访问 控制 概述 

1.， 基本 概念 

访问 控制 ， 是 指 按 用 户 身份 及 其 所 归属 的 某 项 定义 组 ， 来 限制 用 户 对 某 些 信息 项 的 访 
问 ， 或 限制 对 某 些 控制 功能 的 使 用 。 通 常用 于 系统 管理 员 控制 用 户 对 服务 器 、 目 录 、 文 件 
等 网 络 资源 的 访问 。 它 是 针对 越权 使 用 资源 的 防御 措施 。 用 户 只 能 根据 自己 的 权限 大 小 访 
问 系统 资源 ， 不 得 越权 访问 。 

访问 控制 技术 是 建立 在 身份 认证 基础 上 的 ， 简 单 地 说 ， 身 份 认证 解决 的 是 “你 是 谁 ， 
你 是 否 真 的 是 你 所 声称 的 身份 ”这 个 问题 ， 而 访问 控制 技术 解决 的 是 “你 能 做 什么 ， 你 有 
什么 样 的 权限 ”这 个 问题 ， 访 问 控制 在 安全 服务 系统 中 的 位 置 如 图 8-6 所 示 。 

2.， 基本 要 素 

访问 控制 的 目标 ， 是 防止 对 任何 资源 (如 计算 机 资源 、 通 信 资 源 或 者 信息 资源 等 ) 进 行 


8-5 客户 认证 过 程 


算 | 未 授权 访问 ， 从 而 使 计算 机 系统 在 合法 范围 内 被 使 用 。 
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8-6 一 个 安全 系统 的 逻辑 模型 


访问 控制 决定 用 户 能 做 什么 ， 也 决定 代表 一 定 用 户 权 益 的 程序 能 做 什么 。 未 授权 的 访 
问 是 指 未 经 授权 地 使 用 、 泄 露 、 修 改 、 销 毁 信 息 ， 以 及 发 送 指令 等 ， 非 法 用 户 进 入 系统 ， 
或 合法 用 户 对 系统 资源 的 非法 使 用 。 
总 而 言 之 ， 访 问 控制 是 给 予 组 织 控制 、 限 制 、 监 控 以 及 保护 资源 的 可 用 性 、 完 整 性 和 
机 密 性 的 一 种 能 力 。 
(1) 访问 控制 的 主要 目标 
访问 控制 的 主要 目标 ， 一 般 包 括 以 下 几 个 方面 。 
@ ”机 密 性 ， 保证 信息 不 被 泄露 给 非 授 权 的 人 或 实体 。 
@ ”完整 性 :保证 数据 的 一 臻 性， 防止 数据 被 非 授 权 建 立 、 修 改 和 破坏 。 
@ ”可 审计 性 对 非法 用 户 的 入 侵 行 为 、 信 息 的 泄露 与 破坏 的 情况 能 够 跟踪 审计 。 
@ ”可 用 性 : 保证 授权 用 户 对 系统 信息 的 可 访问 性 。 
(2) 访问 控制 系统 的 基本 要 素 
访问 控制 系统 一 般 包 括 以 下 几 个 实体 。 
@ ”主体 (Subject): 发 出 访问 指令 、 存 取 要 求 的 主动 方 ， 但 不 一 定 是 执行 者 ， 通 常 指 
用 户 或 用 户 的 某 个 进程 ， 一 般 标识 为 S。 
@ ”客体 (Object): 被 访问 的 对 象 ， 可 以 是 被 调用 的 程序 、 进 程 ,要 存 取 的 数据 、 信 息 
要 访问 的 文件 、 系 统 ， 或 各 种 网 络 设备 、 设 置 等 资源 ， 一 般 标识 为 O。 
@ 控制 策略 : 一 套 规则 ， 用 以 确定 一 个 主体 是 否 对 客体 拥有 访问 能 力 。 一 般 包 括 主 
体 对 客体 的 操作 行为 的 集合 和 约束 条 件 的 集合 ， 标 识 为 KS， 通 常用 P 了 表示 。 
(3) 访问 控制 的 实现 
访问 控制 系统 的 三 个 要 素 之 间 可 以 用 三 元 组 (S、O、P) 来 表示 (主体 、 客 体 、 许 可 )， 当 
主体 S 提出 正常 的 请 求 信息 时 ， 信 息 系统 的 KS 监控 器 判断 是 否 允 许 或 拒绝 请 求 ， 即 对 主 
体 进行 认证 ， 主 体 通过 KS 监控 器 的 验证 ， 才 能 访问 客体 。 访 问 控制 的 过 程 主要 包括 认证 、 
控制 策略 的 具体 实现 和 审计 三 个 方面 的 内 容 。 
@ 认证 : 包括 主体 对 客体 的 识别 认证 和 客体 对 主体 的 校 验 认证 。 
@ 控制 策略 的 具体 实现 : 指 设 定 规则 集合 ， 确 保 正 常用 户 对 信息 资源 的 合法 使 用 。 
@ ”审计 : 因为 客体 的 管理 者 ( 即 管理 员 ) 有 操作 赋予 权 ， 有 可 能 滥用 这 种 权利 ， 这 是 
在 策略 中 无 法 加 以 约束 的 ， 因 此 ， 必 须 对 这 些 行 为 进行 记录 ， 从 而 达到 监督 和 保 
证 访问 控制 正常 实现 的 目的 ， 这 就 是 审计 的 重要 意义 。 
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8.2.2 访问 控制 机 制 


较为 常见 的 访问 控制 机 制 实现 方法 主要 有 4 种 : 访问 控制 矩阵 、 访 问 能 力 表 、 访 问 控 
制 表 和 授权 关系 表 。 


1. 访问 能 力 表 


能 力 是 受 一 定 机 制 保护 的 客体 标志 ， 标 记 了 客体 以 及 主体 对 客体 的 访问 权限 。 只 有 当 
一 个 主体 对 某 个 客体 拥有 访问 能 力 的 时 候 ， 它 才能 访问 这 个 客体 。 而 访问 能 力 表 是 一 种 非 
常 自然 、 直 观 的 访问 控制 方法 ， 与 人 类 的 日 常 习惯 接近 。 以 主体 为 对 象 ， 每 个 用 户 都 有 一 
张 表 ， 对 于 某 个 用 户 能 访问 的 客体 及 权限 一 目 了 然 ， 如 图 8-7 所 示 。 

可 以 看 出 ， 在 访问 能 力 表 (Capability List，CL) 中 ， 由 于 它 着 眼 于 某 一 主体 的 访问 权限 ， 
以 主体 为 出 发 点 描述 控制 信息 ， 因 此 ， 很 容易 获得 一 个 主体 所 授权 可 以 访问 的 客体 及 其 权 
限 ， 但 如 果 要 求 获 得 对 某 一 特定 客体 有 特定 权限 的 所 有 主体 ， 就 显得 比较 困难 。 因 此 ， 在 
使 用 访问 能 力 表 时 ， 对 系统 开销 较 大 ， 在 管理 上 容易 出 错 ， 容 易 造 成 系统 混乱 。 

2.， 访问 控制 表 

在 一 个 安全 系统 中 ， 正 是 客体 本 身 需 要 得 到 可 靠 的 保护 ， 访 问 控 制服 务 也 应 该 能 够 控 
制 可 访问 某 一 客体 的 主体 集合 ， 能 够 授予 或 取消 主体 的 访问 权限 ， 于 是 出 现 了 以 客体 为 出 
发 点 的 实现 方式 一 一 访问 控制 表 (Access Control List，ACL)， 如 图 8-8 所 示 。 现 代 的 操作 系 
统 都 大 体 上 都 采用 基于 ACL 的 方法 。 


File2 


File4 


8-7 ”访问 能 力 表 举例 8-8 访问 控制 表 ACL 举例 


ACL 的 优点 ， 在 于 它 的 表述 直观 、 易 于 理解 ， 而 且 很 容易 查 出 对 某 一 特定 资源 拥有 访 
问 权限 的 所 有 用 户 ， 能 有 效 地 实施 授权 管理 。 在 一 些 实际 应 用 中 ,还 对 ACL 做 了 扩展 ， 从 
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而 进一步 控制 用 户 的 合法 访问 时 间 、 是 否 需要 审计 等 。 

尽管 ACL 灵活 方便 ， 但 将 它 应 用 到 网 络 规模 较 大 、 需 要 复杂 的 企业 的 内 部 网 络 时 ， 就 
暴露 了 一 些 问 题 。 

(1) ACL 需要 对 每 个 资源 指定 可 以 访问 的 用 户 或 组 ， 以 及 相应 的 权限 。 当 网 络 中 资源 
很 多 时 ， 需 要 在 ACL 中 设 定 大 量 的 表 项 。 而 且 ， 当 用 户 的 职位 、 职 责 发 生变 化 时 ， 为 反映 
这 些 变化 ， 管 理 员 需 要 为 用 户 对 所 有 资源 的 访问 权限 进行 修改 。 另 外 ， 在 许多 组 织 中 ， 服 
务 器 一 般 都 是 彼此 独立 的 ， 各 自 设置 自己 的 ACL， 为 了 实现 整个 组 织 范围 内 的 一 致 的 控制 
政策 ， 需 要 各 管理 部 门 的 密切 合作 。 所 有 这 些 ， 导 致 访问 控制 的 授权 管理 费力 而 繁琐 ， 
且 容 易 出 错 。 

(2) 单纯 使 用 ACL， 不 易 实 现 最 小 权限 原则 及 复杂 的 安全 策略 。 

3. 访问 控制 矩阵 
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访问 控制 矩阵 (Access Control Matrix，ACM) 是 上 述 两 种 方法 的 结合 ， 即 由 系统 中 的 所 
有 主体 和 所 有 客体 组 成 一 个 二 维和 矩阵 ， 其 中 一 维 列 出 所 有 主体 ， 一 维 列 出 所 有 客体 ， 和 矩阵 
中 的 每 个 元 素 规 定 了 用 户 对 该 对 象 的 操作 权限 。 

由 于 直接 使 用 访问 控制 矩阵 会 造成 大 量 的 空余 空间 浪费 ， 同 时 ， 查 找 时 效率 比较 低 ， 
实际 应 用 中 ， 常 常 需要 采用 其 他 变通 的 方式 来 实现 。 
ACM 的 优点 在 于 原理 简单 ， 实 现 容易 ， 同 时 兼顾 了 访问 能 力 表 和 访问 控制 表 的 优点 。 
然而 ， 由 于 主体 和 客体 多 ， 占 用 的 存储 空间 大 ， 和 矩阵 中 会 出 现 大 量 的 空余 空间 ， 会 造成 数 
据 量 大 、 查 找 不 方便 、 占 用 过 多 系统 资源 等 问题 。 

表 8-1 是 图 8-7 和 图 8-8 中 文件 访问 控制 矩阵 的 表示 。 


表 8-1 访问 控制 矩阵 举例 
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4. 授权 关系 表 (Authorization Relations) 


授权 关系 表 (Authorization Relations，AR) 用 一 种 简单 、 直 接 的 关系 ,把 主体 和 客体 的 联 
系 用 一 张 表 罗列 出 来 ， 操 作 权 限 一 目 了 然 。 授 权 关系 表 的 每 一 行 ， 表 示 了 主体 和 客体 之 间 
的 一 个 权限 关系 。 如 果 这 张 表 按 客体 进行 排序 的 话 ， 我 们 就 可 以 拥有 访问 能 力 表 的 优势 ， 
如 果 按 主体 进行 排序 的 话 ， 那 我 们 又 拥有 了 访问 控制 表 的 好 处 ， 这 种 实现 方式 也 特别 适合 
采用 关系 数据 库 。 具 体例 子 如 表 8-2 所 示 。 
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表 8-2 授权 关系 表 举例 


从 表 8-2 中 可 以 看 出 ， 每 一 行 (或 称 一 个 元 组 ) 表 示 了 主体 和 客体 的 一 个 权限 关系 ,因此 
Jack 访问 Filel 的 权限 关系 需要 3 行 。 如果 这 张 表 按 客 体 进行 排序 , 就 可 以 拥有 访问 能 力 表 
的 优势 ， 如 果 按 主体 进行 排序 的 话 ， 那 就 拥有 了 访问 控制 表 的 好 处 。 但 是 ， 这 样 会 占用 存 
储 空间 较 大 ， 因 此 ， 这 种 实现 方式 特别 适合 采用 关系 数据 库 。 


8.2.3 访问 控制 模型 

访问 控制 机 制 可 以 限制 对 关键 资源 的 访问 ， 防 止 非法 用 户 进 入 系统 ， 以 及 合法 用 户 对 
系统 资源 的 非法 访问 。 下 面 将 分 别 对 一 些 常用 的 访问 控制 模型 进行 简单 的 介绍 。 

1.， 自主 访问 控制 (DAC) 


自主 访问 控制 (Discretionary Access Control Model, DAC) 是 目前 计算 机 系统 中 实现 最 多 
的 访问 控制 机 制 ， 其 核心 思想 是 : 主体 的 拥有 者 通常 是 它 的 建立 者 ， 可 以 主动 授权 给 其 他 
人 访问 该 主体 。 因 此 ，DAC 又 称 为 基于 主体 的 访问 控制 。DAC 的 实现 方法 ， 一 般 是 建立 
系统 访问 控制 矩阵 ， 和 矩阵 的 行 对 应 系统 的 主体 ， 列 对 应 系统 的 客体 ， 元 素 表示 主体 对 客体 
的 访问 权限 。 为 了 提高 系统 性 能 ， 在 实际 应 用 中 ， 常 常 是 建立 基于 行 (主体 ) 或 列 (客体 ) 的 访 
问 控制 方法 。 忆 ee 实现 自主 访问 控制 最 好 的 方法 ， 访 问 控制 系统 通过 检测 
ACL， 来 决定 访问 是 否 被 授权 或 拒绝 。 
DAC 根据 户 的 身份 及 允许 访问 权限 ， 决定 其 访问 操作 ， 这 种 访问 控制 机 制 的 灵活 性 
较 高 ， 被 广泛 地 用 在 商业 领域 ， 尤 其 是 在 操作 系统 和 关系 数据 库 系 统 上 。 然 而 ， 也 正 是 由 
于 这 种 灵活 性 ， 使 信息 安全 性 能 有 所 降低 ，DAC 也 存在 一 些 缺 点 : 授权 读 是 可 传递 的 ， 一 
且 访 问 权 被 传递 出 去 ， 将 难以 控制 ， 使 访问 权 的 管理 相当 困难 ， 会 带 来 严重 的 安全 问题 ; 
DAC 机 制 易 遭 到 特洛伊 木马 攻击 ; 在 大 型 系统 中 ， 主 、 客 体 的 数量 巨大 ， 使 用 DAC， 将 
使 系统 开销 大 到 难以 支付 的 程度 。 

2. 强制 访问 控制 (MAC) 


由 于 自主 访问 控制 不 能 抵御 特洛伊 木马 的 攻击 ， 强 制 访问 控制 (Mandatory Access 
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Control，MAC) 作 为 一 种 基于 格 (Lattice-based) 的 访问 控制 应 运 而 生 。 强 制 访问 控制 最 早 被 
应 用 在 军 方 系统 中 ， 在 军事 和 安全 部 门 中 应 用 较 多 ， 访 问 者 拥有 包含 等 级 列表 的 许可 ， 其 
中 定义 了 可 以 访问 哪个 级 别 的 客体 ， 其 访问 策略 是 由 授权 中 心 决定 的 强制 性 的 规则 。 

MAC 的 本 质 ， 是 基于 格 的 非 循环 单 向 信息 流 政策 ， 通 过 无 法 回避 的 存 取 限 制 ,来 阻止 
直接 或 间接 的 非法 入 侵 ， 它 的 两 个 关键 规则 是 : 不 向 上 读 和 不 向 下 写 ， 即 信息 流 只 能 从 低 
安全 级 向 高 安全 级 流动 ， 任 何 违反 非 循 环 信息 流 的 行为 都 是 被 禁止 的 。 

MAC 同样 具有 一 些 弱 点 : 对 用 户 恶 意 泄漏 信息 无 能 为 力 ; 虽然 MAC 增强 了 信息 的 机 
密 性 ， 但 不 能 实施 完整 性 控制 ， 而 网 络 应 用 对 信息 完整 性 具有 较 高 的 要 求 ， 因 此 ，MAC 可 
能 无 法 胜任 某 些 网 络 应 用 ; 在 MAC 系统 中 ， 实 现 单 向 信息 流 的 前 提 ， 是 系统 中 不 存在 逆 
向 潜 信 道 , 否则 , 会 导致 信息 违反 规则 地 流动 , 这 就 给 系统 增加 了 安全 性 漏洞 ; 此 外 , MAC 
过 于 强调 保密 性 ， 对 系统 的 授权 管理 不 便 ， 不 够 灵活 。 

3， 基于 角色 的 访问 控制 (RBAC) 


随 着 网 络 的 发 展 和 Intermet 的 广泛 应 用 , 信息 的 完整 性 需求 超过 了 机 密 性 , 传统 的 DAC 
/MAC 策略 已 无 法 满足 信息 完整 性 的 要 求 ， 于 是 提出 了 基于 角色 的 访问 控制 (Role Based 
Access Control，RBAC)。RBAC 现在 已 较为 成 熟 ， 并 且 在 许多 大 型 系统 中 得 以 实现 。 

2001 年 8 月 ，NIST 发 表 了 RBAC 建议 标准 ， 此 建议 标准 综合 了 该 领域 众多 研究 者 的 
研究 成 果 ， 描 述 了 RBAC 系统 最 基本 的 特征 ， 旨 在 提供 一 个 权威 的 、 可 用 的 RBAC 参考 规 
范 ， 为 RBAC 的 进一步 研究 指明 了 方向 。 一 种 用 户 、 角 色 、 权 限 示 例如 图 8-9 所 示 。 
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图 8-9 一 种 用 户 、 角 色 、 权 限 示例 


NIST 包括 两 个 部 分 ， 即 RBAC 参考 模型 和 RBAC 功能 规范 。 

RBAC 参考 模型 给 出 了 RBAC 集合 和 关系 的 严格 定义 ,包括 4 个 部 分 :核心 RBAC(Core 
RBAC)、 等 级 RBAC(Hierarchical RBAC)、 静 态 职责 分 离 (Static Separation of Duties，SSD) 
和 动态 职责 分 离 (Dynamic Separation of Duties，DSD)。 

RBAC 功能 规范 为 每 个 组 件 定义 了 关于 创建 和 维护 RBAC 集合 和 关系 的 管理 功能 、 系 
统 支持 功能 和 审查 功能 ， 这 里 不 再 详 述 。 

目前 , RBAC 被 应 用 在 各 个 企业 领域 , 包括 操作 系统 、 数 据 库 管 理 系统 、 PKI(Public Key 
Infrastructure)、 工 作 流 管理 系统 和 Web 服务 等 领域 。 驱 动 RBAC 发 展 的 动力 ， 是 在 简化 安 
全 策略 管理 的 同时 ， 人 允许 灵活 地 定义 安全 策略 ， 这 一 点 ， 使 得 在 过 去 的 若干 年 中 ， 无 论 是 


NEED 


第 8 章 身份 认证 与 访问 控制 全 八国 


对 RBAC 的 理论 研究 还 是 实现 RBAC 的 现实 产品 ， 都 有 了 很 大 的 发 展 。 

随 着 RBAC 的 4 层 模型 和 各 种 RBAC 规范 的 逐步 建立 , RBAC 技术 必 将 在 各 领域 迅速 
发 展 ， 并 得 到 充分 的 应 用 。 

4. 使 用 控制 模型 (UCON) 


使 用 控制 模型 (Usage Control, UCON) 包 含 3 个 基本 元 素 : 主体 (Subject)、 客 体 (Object)、 
权限 (Right)。 另 外 还 有 三 个 与 授权 有 关 的 元 素 : 授权 规则 (Authorization Rule)、 条 件 
(Condition)、 义 务 (Obligation)。 

UCON 模型 将 义务 、 条 件 和 授权 作为 使 用 决策 进程 的 一 部 分 ， 提 供 了 一 种 更 好 的 决策 
能 力 。 授 权 是 基于 主体 、 客 体 的 属性 以 及 所 请 求 的 权利 进行 的 ， 每 一 个 访问 都 有 有 限 的 期 
限 ， 在 访问 之 前 ， 往 往 需要 授权 ， 而 且 在 访问 的 过 程 中 也 可 能 需要 授权 。 

可 变 属性 (Mutable Attribute) 的 引入 ， 是 UCON 模型 与 其 他 访问 控制 模型 的 最 大 差别 ， 
可 变 属 性 会 随 着 访问 对 象 的 结果 而 改变 ， 而 不 可 变 属性 仅 能 通过 管理 行为 改变 。 

UCON 模型 不 仅 包含 了 DAC、MAC 和 RBAC， 而 且 还 包含 了 数字 版 权 管理 (Digital 
Rights Management，DRM)、 信 任 管理 等 ， 涵 盖 了 现代 商务 和 信息 系统 需求 中 的 安全 和 隐 
私 这 两 个 重要 的 问题 。 因 此 ，UCON 模型 为 研究 下 一 代 访 问 控制 提供 了 一 种 新 方法 ， 被 称 
作 下 一 代 访问 控制 模型 。 图 8-10 展示 的 是 一 种 常见 的 UCON 模型 。 


Usage decision -... ~~ 


Subject 2ttributes 
CATT (S)) Obligation Conditions: 
(B) CC) 
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Object dttributes 
(ATT (0)) 


5. 基于 任务 的 访问 控制 (TBAC) 


工作 流 作为 开发 复杂 信息 系统 一 种 常见 方式 , 在 流程 推进 中 同样 面临 着 访问 控制 问题 ， 
包括 流程 控制 和 访问 控制 。 在 工作 流 中 应 用 访问 控制 时 ， 传 统 的 访问 控制 技术 显得 力 不 从 
心 。 当 数据 在 工作 流 中 流动 时 ， 执 行 操作 的 用 户 在 改变 ， 用 户 的 权限 也 在 改变 ， 这 与 数据 
处 理 的 上 下 文 环境 相关 。 采 用 传统 的 访问 控制 技术 ， 如 DAC、MAC， 则 难以 做 到 这 一 点 ， 
若 采 用 RBAC， 也 需要 频繁 地 更 换 角 色 ， 且 不 适合 工作 流程 的 运转 。 因 此 ， 有 必要 采用 一 
种 新 的 访问 控制 模型 。 

基于 任务 的 访问 控制 (Task-Based Access Control，TBAC) 是 一 种 新 的 安全 模型 ， 从 应 用 
和 企业 层 角 度 来 解决 安全 问题 (而 非 传统 从 系统 的 角度 )。 它 采用 “面向 任务 ”的 观点 ， 从 
任务 (活动 ) 的 角度 来 建立 安全 模型 和 实现 安全 机 制 ， 在 任务 处 理 的 过 程 中 提供 动态 、 实 时 
的 安全 管理 。 在 TBAC 中 ， 对 象 的 访问 权限 控制 并 不 是 静止 不 变 的 ， 而 是 随 着 执行 任务 的 
上 下 文 环境 发 生变 化 ， 这 是 我 们 称 其 为 主动 安全 模型 的 原因 。 


具体 说 来 ， TBAC 有 两 点 含义 。 首 先 ， 它 是 在 工作 流 的 环境 中 考虑 对 信息 的 保护 问题 。 
机 | 在 工作 流 环境 中 ， 每 一 步 对 数据 的 处 理 都 与 以 前 的 处 理 相 关 ， 相 应 的 访问 控制 也 是 这 样 ， 
凡 因而 ，TBAC 是 一 种 上 下 文 相关 的 访问 控制 模型 。 其 次 ， 它 不 仅 能 对 不 同 工 作 流 实行 不 同 
安 | 的 访问 控制 策略 ， 而 且 能 对 同一 工作 流 的 不 同 任务 实例 实行 不 同 的 访问 控制 策略 ， 所 以 
加 TBAC 又 是 一 种 基于 实例 (Instance-Based) 的 访问 控制 模型 。 最 后 ， 因 为 任务 都 有 时 效 性 ， 
础 | 所 以 ， 在 基于 任务 的 访问 控制 中 ， 用 户 对 于 授予 它 的 权限 的 使 用 也 是 有 时 效 性 的 。 

8-11 显示 了 TBAC 的 模型 结构 。 


工作 流 IAUl AU6 


保护 态 


图 8-11 TBAC 模型 结构 
6， 面 向 服务 的 访问 控制 (SOAC) 


在 面向 服务 架构 的 分 布 式 系统 中 ， 提 出 请 求 的 主体 和 提供 服务 资源 的 客体 都 具有 较 高 
的 动态 特性 。 主体 动态 特性 是 由 于 主体 操作 方式 的 多 样 性 和 用 户 计 算 环 境 的 异 构 性 造成 的 。 
服务 本 身 的 动态 特性 表现 为 : 服务 提供 的 功能 可 能 扩充 或 被 修改 ， 服 务 的 组 成 也 具有 动态 
的 变动 性 。 这 就 要 求 访 问 控制 系统 应 该 能 够 动态 地 适应 这 种 变化 ， 能 够 根据 安全 相关 的 环 
境 做 出 其 访问 控制 决策 。 

面向 服务 的 访问 控制 模型 (Service-Oriented Access Control, SOAC) 主 要 适用 于 基于 面向 
服务 的 体系 结构 (Service Oriented Architecture，SOA) 而 开发 的 软件 系统 。 图 8-12 为 一 种 面 
向 服务 的 访问 控制 模型 。 


Workflow Service-Oriented Access Control 


Service-Permission 


8-12 ”SOAC 模型 结构 及 其 与 工作 流 的 关系 
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另外 ， 可 将 面向 服务 的 访问 控制 看 作 是 对 TBAC 的 一 种 改进 ， 基 本 实现 方式 类 似 ， 只 
是 把 原来 的 任务 限制 换 成 服务 。 


7. 基于 属性 的 访问 控制 (ABAC) 


可 以 用 属性 值 元 组 来 描述 访问 矩阵 中 行 和 列 对 应 的 主体 和 客体 ， 并 用 关于 属性 的 谓词 
来 描述 指令 执行 条 件 , 通过 指令 来 修改 系统 状态 , 然后 在 指令 和 属性 满足 某 个 特定 条 件 时 ， 
其 安全 问题 是 可 判定 的 。 在 这 种 描述 的 基础 上 ， 可 将 其 扩展 至 统一 框架 一 一 基于 属性 的 访 
问 控制 (Attribute-Based Access Control，ABAC)。ABAC 是 目前 的 一 个 研究 热点 ， 表 示 能 力 
较 强 ， 可 以 作为 一 种 统一 访问 控制 框架 ， 且 有 相应 的 访问 控制 语言 XACML 提供 支持 。 

ABAC 中 的 基本 元 素 包 括 请 求 者 、 被 访问 资源 、 访 问 方法 和 条 件 ， 将 这 些 元 素 统一 使 
用 属性 来 描述 ， 而 且 各 个 元 素 所 关联 的 属性 可 以 根据 系统 需要 定义 。 
属性 概念 的 引入 ， 可 以 将 访问 控制 中 对 所 有 元 素 的 描述 统一 起 来 ， 提 供 一 种 统一 描述 
的 框架 。RBAC 通过 引入 角色 中 间 元 素 ， 使 得 权限 先 经 过 角色 进行 聚合 ， 然 后 将 权限 分 配 
给 主体 。 通 过 这 种 方式 ， 可 以 简化 授权 ， 可 将 角色 信息 看 成 是 一 种 属性 ， 这 样 RBAC 就 
成 为 ABAC 的 一 种 单 属性 特例 。 

一 种 典型 的 ABAC 框架 如 图 8-13 所 示 。 


8-13 ”ABAC 模型 框架 


在 ABAC 中 ， 一 次 访问 控制 判定 过 程 如 下 。 

PEP 接收 原始 访问 请 求 (NAR)， 再 根据 NAR， 利 用 不 同 的 属性 权威 (AA) 中 存储 的 属性 
信息 ,构建 一 个 基于 属性 的 访问 请 求 (AAR)。AAR 描述 了 请 求 者 、 资源 、 方 法 和 环境 属性 ， 
PEP 将 AAR 传递 给 PDPP，PDP 根据 从 PAP 处 获取 的 策略 判定 AAR， 并 将 判定 结果 传 给 
PEP，PEP 执行 此 访问 判定 结果 。 

其 中 ，NAR 为 原始 访问 请 求 ，AA 为 属性 权威 ，AAR 为 基于 属性 的 访问 请 求 ，PEP 为 
策略 执行 点 ，PDP 为 策略 判定 点 ，PAP 为 策略 管理 点 。 


8. 其 他 访问 控制 模型 的 介绍 


除了 上 面 提 到 的 7 种 访问 控制 模型 外 ， 还 有 其 他 一 些 关 于 访问 控制 模型 的 研究 。 

BLP 模型 是 一 个 严格 的 基于 强制 访问 控制 模型 的 形式 化 数学 模型 ， 但 它 包 含 了 DAC 
和 MAC, 并 且 制 定 了 状态 转换 规则 ， 来 描述 系统 的 变化 。 它 是 用 一 种 计算 机 可 实现 的 方式 
来 定义 ， 并 且 能 够 形式 化 证 明 系统 的 安全 性 。 但 BLP 模型 缺乏 灵活 性 ， 扩 展 性 不 强 ， 依 赖 
于 制定 的 规则 ， 信 息 流动 时 ， 可 能 破坏 数据 完整 性 ， 且 不 符合 最 小 特权 原则 。 


BIBA 模型 也 是 基于 强制 访问 控制 模型 而 定义 的 。 但 它 与 BLP 提供 保密 性 不 同 ，BIBA 
模型 主要 提供 对 数据 完整 性 的 保护 。 所 以 它 的 规则 与 BLP 模型 刚好 相反 ， 是 下 读 和 上 写 。 
Chinese Wall 模型 是 一 个 多 边 安全 系统 的 访问 控制 选择 模型 ， 可 应 用 在 存在 冲突 的 不 
同 组 织 的 访问 控制 中 。 它 主要 基于 两 个 属性 : 用 户 必须 选择 一 个 可 以 访问 的 区 域 ， 用 户 必 
须 自动 拒绝 其 他 与 用 户 所 选区 域 的 利益 发 生 冲 突 的 区 域 访 问 。 
此 外 ， 还 有 一 些 学 者 提出 的 基于 逻辑 的 信任 管理 模型 ， 该 模型 具有 较 大 的 影响 。 感 兴 
趣 的 读者 可 以 自行 查阅 相关 的 资料 ， 自 己 来 了 解 。 


本 章 小 结 


身份 认证 和 访问 控制 是 网 络 安全 的 重要 技术 ， 是 网 络 安全 登录 的 首要 保障 。 

本 章 概述 了 身份 认证 的 概念 、 常 用 的 身份 认证 的 方式 方法 ， 并 简要 介绍 了 几 种 常见 的 
身份 认证 机 制 。 还 介绍 了 访问 控制 的 概念 、 基 本 要 素 、 常 用 的 访问 控制 技术 及 当前 典型 的 
访问 控制 机 制 等 。 另 外 ， 还 介绍 了 公 钥 基础 设施 PKI 系统 的 基本 结构 、 组 成 、 功 能 、 服 务 
及 应 用 。 

希望 读者 在 阅读 完 本 章 的 知识 后 , 能 够 掌握 主要 的 身份 认证 方法 与 技术 , 了 解 Kerberos 
身份 认证 机 制 的 构成 与 基本 原理 ， 并 能 知道 其 要 解决 的 问题 是 什么 ， 其 次 ， 还 需要 了 解 访 
问 控 制 的 基本 要 素 ， 及 常见 的 访问 控制 技术 。 


练习 。 思 考题 


1. 简单 列举 现实 生活 中 运用 IC 卡 认 证 技术 的 场合 ， 说 明 此 种 方式 的 优点 和 不 足 。 

2. Kerberos 身份 认证 系统 主要 由 哪 几 部 分 组 成 ?要 解决 的 问题 是 什么 ? 

3. Kerberos 身份 认证 系统 中 有 两 类 赁 证: “票据 ”与 “鉴别 码 ”， 分 析 对 比 二 者 之 间 
的 异同 。 

4. 访问 控制 主要 包括 哪 几 个 要 素 ? 它们 之 间 的 关系 是 什么 ? 

5. 本 章 中 谈 到 了 4 种 访问 控制 机 制 ， 通 过 对 本 章 的 学 习 ， 分 析 对 比 这 4 种 访问 控制 机 
制 的 优点 与 不 足 。 

6. 访问 控制 模型 RBAC、DAC 和 MAC 的 特征 分 别 是 什么 ?其 中 安全 性 最 高 的 是 
什么 ? 

7. 浅 谈 生 物 特征 认证 技术 的 优 缺 点 。 
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在 日 常生 活 中 ， 有 许多 的 秘密 和 隐私 ， 不 想 让 其 他 人 知道 ， 更 不 想 让 别人 去 广泛 传播 
或 者 使 用 。 对 于 我 们 来 说 ， 这 些 私密 是 至 关 重 要 的 ， 它 记载 了 个 人 的 重要 信息 ， 其 他 人 不 
需要 知道 ， 也 没有 必要 知道 。 为 了 防止 秘密 泄露 ， 我 们 需要 设置 密码 而 保护 信息 安全 。 更 
有 甚 者 ， 还 要 设置 密 保 ， 以 便 密码 丢失 后 能 够 及 时 找 回 。 

那么 ， 密 码 到 底 是 干什么 的 呢 ? 其 实 ， 密 码 就 是 为 了 防止 未 被 允许 的 陌生 人 进入 你 的 
账户 、 系 统 等 ， 读 写 你 的 文件 和 数据 。 例 如 ， 在 保密 通信 设备 中 使 用 密码 ， 个 人 在 银行 取 
款 时 使 用 密码 ， 在 计算 机 登录 和 屏幕 保护 中 使 用 密码 ， 在 开启 保险 箱 时 使 用 密码 ， 儿 童 玩 
电子 游戏 时 使 用 密码 等 。 但 这 些 密码 只 是 一 种 特定 的 暗号 或 口令 字 。 

现代 的 密码 已 经 有 了 长 足 的 发 展 ， 并 逐渐 形成 一 门 科学 。 从 专业 上 来 讲 ， 密 码 是 按 特 
定 法 则 编 成 ， 用 于 通信 双方 对 信息 进行 明 密 变换 的 符号 ， 研 究 密码 的 学 科 称 为 密码 学 。 密 
码 主 要 用 于 保护 传输 和 存储 的 信息 ; 除 此 之 外 ， 密 码 还 用 于 保证 信息 的 完整 性 、 真 实 性 、 
可 控 性 和 不 可 否认 性 。 

密码 是 信息 安全 技术 的 核心 和 基础 ， 它 主要 由 密码 编码 技术 和 密码 破译 技术 两 个 分 支 
组 成 。 在 密码 学 研究 发 展 的 过 程 中 ， 密 码 编码 者 一 直 努 力 分 析 密 码 算法 的 特性 ， 试 图 证 明 
其 安全 性 ;与 此 同时 ， 另 一 部 分 人 则 同样 对 密码 算法 进行 分 析 ， 但 是 以 破译 为 目的 。 作 为 
密码 学 的 两 个 方面 ， 密 码 编码 与 密码 破译 这 对 挛 生 兄弟 始终 随 影 相 行 。 正 是 由 于 这 种 对 立 
统一 关系 ， 才 推动 了 密码 学 自身 的 发 展 。 


9.1 密码 学 的 发 展 历史 


密码 学 的 发 展 大 致 经 历 了 三 个 阶段 : 古代 加 密 方 法 、 古 典 密码 和 近代 密码 。 
1.， 古代 加 密 方法 (手工 阶段 ) 


源 于 应 用 的 无 穷 需 求 总 是 推动 技术 发 明和 进步 的 直接 动力 。 存 于 石刻 或 史书 中 的 记载 
表明 ， 许 多 古代 文明 ,包括 埃及 人 、 希 伯 来 人 、 亚 述 人 ， 都 在 实践 中 逐步 发 明了 密码 系统 。 

从 某 种 意义 上 说 ， 战 争 是 科学 技术 进步 的 催化 剂 。 人 类 自从 有 了 战争 ， 就 面临 着 通信 
安全 的 需求 。 

古代 的 加 密 方法 大 约 起 源 于 公元 前 440 年 ， 即 出 现在 古 希 腊 战 争 中 的 隐 写 术 。 当 时 ， 
为 了 安全 传送 军事 情报 ， 奴 隶 主 剃 光 奴隶 的 头发 ， 将 情报 写 在 奴隶 的 光头 上 ， 待 头发 长 长 
后 ， 将 奴隶 送 到 另 一 个 部 落 ， 再 次 剃 光 头发 ， 原 有 的 信息 复 现 出 来 ， 从 而 实现 这 两 个 部 落 
之 间 的 秘密 通信 。 

公元 前 400 年 ， 斯 巴 达 人 就 发 明了 “ 塞 塔 式 密码 ”， 即 把 长 条 纸 螺旋 形 地 和 斜 绕 在 一 个 
多 棱 棒 上 ， 将 文字 沿 棒 的 水 平方 向 从 左 到 右 书写 ， 写 一 个 字 旋 转 一 下 ， 写 完 一 行 再 男 起 
行 从 左 到 右 写 ， 直 到 写 完 。 解 下 来 后 ， 纸 条 上 的 文字 消息 杂乱 无 章 、 无 法 理解 ， 这 就 是 密 
文 ， 但 将 它 绕 在 另 一 个 同等 尺寸 的 棒子 上 后 ， 就 能 看 到 原始 的 消息 。 这 是 最 早 的 密码 技术 。 
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我 国 古代 也 早 有 以 藏 头 诗 、 藏 尾 诗 、 漏 格 诗 及 绘画 等 形式 , 将 要 表达 的 真正 意思 或 “ 密 
语 ”隐藏 在 诗 文 或 画卷 中 特定 位 置 的 记载 ， 一 般 人 只 注意 诗 或 画 的 表面 意境 ， 而 不 会 去 注 
意 ， 或 很 难 发 现 隐 藏 其 中 的 “ 话 外 之 音 ”。 比 如 : 我 画 蓝 江水 您 您 ， 爱 晚 享 枫叶 息 。 秋 月 
溶 溶 照 佛寺 ， 香 烟 撩 撩 绕 轻 楼 。 


2， 上 古典 密码 (机 械 阶段 ) 


古典 密码 的 加 密 方法 一 般 是 文字 置换 ， 使 用 手工 或 机 械 变换 的 方式 来 实现 。 古 典 密码 
系统 已 经 初步 体现 出 近代 密码 系统 的 雏形 ， 它 比 古代 加 密 方法 复杂 ， 变 化 较 小 。 古 典 密码 
的 代表 密码 体制 主要 有 凯撒 密码 、 单 表 蔡 代 密 码 、 多 表 蔡 代 密 码 及 转 轮 密码 。 


3. 近代 密码 (计算 机 阶段 ) 


密码 形成 一 门 新 的 学 科 是 在 20 世纪 70 年 代 ， 这 是 受 计 算 机 科学 蓬勃 发 展 刺激 和 推动 
的 结果 。 快 速 电子 计算 机 和 现代 数学 方法 一 方面 为 加 密 技 术 提 供 了 新 的 概念 和 工具 ， 另 一 
方面 ， 也 给 破译 者 提供 了 有 力 的 武器 。 计 算 机 和 电子 学 时 代 的 到 来 ， 给 密码 设计 者 带 来 了 
前 所 未 有 的 自由 ， 他 们 可 以 轻易 地 摆脱 原先 用 铅笔 和 纸 进行 手工 设计 时 易 犯 的 错误 ， 也 不 
用 再 面 对 用 电子 机 械 方式 实现 的 密码 机 的 高 额 费用 。 总 之 ， 利 用 电子 计算 机 可 以 设计 出 更 
为 复杂 的 密码 系统 ， 比 较 典 型 的 近代 密码 算法 有 DES、AES、RSA 等 。 


9.2 ”密码 学 基础 


9.2.1 密码 学 的 基本 概念 


密码 学 (Cryptology) 作 为 数学 的 一 个 分 支 ， 是 密码 编码 学 和 密码 分 析 学 的 统称 。 通 过 变 
换 消息 使 其 保密 的 科学 和 艺术 ， 称 为 密码 编码 学 (Cryptography)。 

密码 编码 学 是 密码 体制 的 设计 学 ， 即 怎样 编码 ， 采 用 什么 样 的 密码 体制 以 保证 信息 被 
安全 地 加 密 。 从 事 此 行业 的 人 员 叫 作 密 码 编码 者 (CryptographenD。 与 之 相对 应 ， 密 码 分 析 学 
(Cryptanalysis) 就 是 破译 密 文 的 科学 和 艺术 。 密 码 分 析 学 是 在 未 知 密 钥 的 情况 下 ， 从 密 文 推 
演出 明文 或 密 钥 的 艺术 。 密 码 分 析 者 (Cryptanalysb 是 从 事 密码 分 析 的 专业 人 员 。 

在 密码 学 中 ， 有 一 个 五 元 组 ， 即 {明文 、 密 文 、 密 钥 、 加 密 算 法 、 解 密 算法 }， 对 应 的 
加 密 方案 称 为 密码 体制 (或 密码 )。 

(1) 明文 是 作为 加 密 输入 的 原始 信息 ， 即 消息 的 原始 形式 ， 通 常用 m(Message) 或 
p(Plaintext) 表 示 。 所 有 可 能 明文 的 有 限 集 称 为 明文 空间 ， 通 常用 M 或 P 来 表示 。 

(2) 密 文 是 明文 经 加 密 变 换 后 的 结果 , 即 消息 被 加 密 处 理 后 的 形式 , 常用 c(Ciphertext) 
表示 。 所 有 可 能 密 文 的 有 限 集 称 为 密 文 空间 ， 通 常用 C 来 表示 。 

(3) 密 钥 是 参与 密码 变换 的 参数 ， 通 常用 k(Key) 表 示 。 一 切 可 能 的 密 钥 构成 的 有 限 集 
称 为 密 钥 空间 ， 通 常用 K 表示 。 

(4) 加 密 算法 是 将 明文 变换 为 密 文 的 变换 函数 ， 相 应 的 变换 过 程 称 为 加 密 ， 即 编码 的 
过 程 ， 通 常用 E(Encryption) 表 示 ， 即 c=Ex(p)。 

(5) 解密 算法 是 将 密 文 恢复 为 明文 的 变换 函数 ， 相 应 的 变换 过 程 称 为 解密 ， 即 解码 的 
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过 程 ， 通 常用 D(Decryption) 表 示 ， 即 p=Dx(c)。 

对 于 有 实用 意义 的 密码 体制 而 言 ， 总 是 要 求 它 满足 p=Dx(Ex(p))， 即 用 加 密 算法 得 到 的 
密 文 总 是 能 用 一 定 的 解密 算法 恢复 出 原始 的 明文 来 。 而 密 文 消息 的 获取 同时 依赖 于 初始 明 
文 和 密 钥 的 值 。 


在 如 图 9-1 所 描绘 的 基本 通信 模式 中 ， 由 Alice 和 Bob 双方 互相 通信 ， 而 第 三 方 Eve 
创 | 是 一 个 隐 基 的 窍 听 者 。 


下 
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9-1 密码 学 基本 通信 模式 


当 Alice 向 Bob 发 送 消息 ( 称 为 明文 ) 时 ， 使 用 加 密 密 钥 ， 并 用 预先 与 Bob 约定 的 方法 
对 消息 进行 加 密 。 当 Bob 收 到 加 密 的 消息 ( 称 密 文 ) 时 ， 便 用 解密 密 钥 把 密 文 还 原 为 明文 。 
通常 ， 假 定 加 密 方法 为 Eve 所 知 ， 那 么 ， 当 Eve 窃听 到 密 文 后 ， 可 能 有 下 列 意 图 : 

@ ”阅读 该 消息 。 

e@ ”找到 密 钥 以 便 阅读 所 有 用 该 密 钥 加 密 的 信息 。 

@ 算 改 Alice 的 消息 。 

@ 冒充 Alice 与 Bob 通信 ， 并 使 Bob 相信 自己 是 在 与 Alice 通信 。 


9.2.2 可 能 的 攻击 


根据 Eve 对 明文 、 密 文 等 信息 掌握 的 多 少 ， 可 将 密码 分 析 分 为 以 下 几 种 情形 。 

1. 惟 密 文 攻击 (Ciphertext only) 

Eve 尽管 知道 密码 算法 ， 但 仅 能 根据 截获 的 密 文 进行 分 析 ， 以 得 出 明文 或 密 钥 。 由 于 
Eve 所 能 利用 的 数据 资源 仅 为 密 文 ， 这 对 于 Eve 是 最 不 利 的 情况 。 

2.， 已 知 明文 攻击 (Known plaintext) 


Eve 除了 有 截获 的 密 文 外 ， 还 有 一 些 已 知 的 “明文 - 密 文 对 ”来 破译 密码 。Eve 的 任务 
目标 ， 是 推出 用 来 加 密 的 密 钥 或 菜 种 算法 ， 这 种 算法 可 以 对 用 该 密 钥 加 密 的 任何 新 的 消息 
进行 解密 。 例 如 ,假设 Eve 截获 了 一 份 加 密 的 通信 稿 ， 并 在 第 二 天 看 到 了 解密 后 的 通信 稿 。 
如 果 Alice 没有 改变 密 钥 而 Eve 又 能 推断 出 解密 密 钥 ， 那 么 她 就 能 读 出 将 来 的 所 有 信息 。 
或 者 ， 如 果 Alice 总 是 以 “Dear Bob ”作为 其 信息 的 开头 ,那么 Eve 就 有 了 一 小 份 密 文 和 相 
对 应 的 明文 。 对 许多 弱 密 码 系统 来 说 ， 这 足以 找到 密 钥 。 即 使 是 对 于 二 战 中 使 用 的 德国 的 
Enigma 密码 机 这 样 比较 强 的 密码 系统 ， 上 述 的 这 种 信息 也 起 了 很 大 的 作用 。 
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3. 选择 明文 攻击 (Chosen plaintext) 

Eve 有 机 会 接触 加 密 机 ， 她 不 能 打开 机 器 找 密 钥 ， 但 可 以 加 密 大 量 经 过 适当 选择 的 明 
文 ， 然 后 试 着 利用 所 得 的 密 文 来 推测 密 钥 。 

4.” 选择 密 文 攻击 (Chosen ciphertext) 

Eve 有 机 会 接触 加 密 机 ， 她 用 其 来 对 若干 字符 串 解密 ， 然 后 试 着 用 所 得 结果 推断 密 钥 。 

5. 自 适应 选择 明文 攻击 (Adaptive-chosen-plaintext attack) 

选择 明文 攻击 的 一 种 特殊 情况 ， 是 指 Eve 不 仅 能 够 选择 要 加 密 的 明文 ， 还 能 够 根据 加 
密 的 结果 ， 对 以 前 的 选择 进行 修改 。 

6. 选择 密 钥 攻击 (Chosen-key attack) 

这 种 攻击 情况 在 实际 应 用 中 比较 少见 ， 它 仅 表示 Eve 了 解 不 同 密 钥 之 间 的 关系 ， 并 不 
表示 能 够 选择 密 钥 。 

7. 选择 文本 攻击 (Chosen text) 

这 种 攻击 情况 是 选择 明文 攻击 与 选择 密 文 攻击 的 结合 。Eve 已 知 的 东西 包括 : 加 密 算 
法 、 由 密码 破译 者 选择 的 明文 消息 和 它 对 应 的 密 文 ， 以 及 由 其 选择 的 猜测 性 密 文 及 其 对 应 
的 已 破译 的 明文 。 
9.2.3 ”密码 系统 


密码 系统 (Crypto System) 是 用 于 加 密 和 解密 的 系统 ,就 是 明文 与 加 密 密 钥 作 为 加 密 变换 
的 输入 参数 ， 经 过 一 定 的 加 密 变换 处 理 后 ， 得 到 的 输出 密 文 ， 或 者 基于 密 文 与 解密 密 铀 ， 
经 过 解密 变换 恢复 明文 。 一 个 密码 系统 涉及 用 来 提供 信息 安全 服务 的 一 组 密码 基础 要 素 ， 
包括 加 密 算 法 、 解 密 算法 ， 以 及 所 有 可 能 的 明文 、 密 文 、 密 钥 及 信 源 、 信 宿 和 攻击 者 等 。 


1.， 柯 克 霍 夫 原 则 (Kerckhoffs Principle) 


Kerckhoff 原则 是 荷兰 密码 专家 Kerckhoff 于 1883 年 在 他 的 经 典 名 著 《 军 事 密 码 学 》 中 
提出 的 基本 假设 : 加 密 算 法 应 建立 在 算法 的 公开 不 影响 明文 和 密 钥 的 安全 的 基础 上 。 
这 一 原则 已 得 到 普遍 认可 ， 成 为 判定 密码 强度 的 衡量 标准 ， 实 际 上 ， 也 成 为 古典 密码 


和 现代 密码 的 分 界线 。 
Kerckhoff 原则 的 优势 : 
@ ” 它 是 评估 算法 安全 性 的 唯一 可 用 的 方式 。 因 为 如 果 密 码 算 法 保密 的 话 ， 密 码 算 法 
的 安全 性 是 无 法 进行 评估 的 。 


@ ”防止 算法 设计 者 在 算法 中 隐 茂 后门。 因为 算法 公开 后 ， 密 码 学 家 可 以 研究 和 分 析 
是 否 存 在 漏洞 ， 同 时 也 接受 攻击 者 的 检验 。 

e@ ”有 助 于 推广 使 用 。 当 前 网 络 应 用 十 分 普及 ， 密 码 算法 的 应 用 不 再 局 限于 传统 的 军 
事 领 域 ， 只 有 算法 公开 ， 才 可 能 被 大 多 数 人 接受 并 使 用 ， 同 时 ， 对 用 户 而 言 ， 只 
需 掌握 密 钥 ， 就 可 以 使 用 。 


算 2. 密码 系统 的 安全 性 


网 窗 码 算法 是 用 于 加 密 和 解密 的 数学 函数 ， 通 常情 况 下 ， 有 两 个 相关 的 函数 ， 一 个 用 于 
安 | 加 密 ， 一 个 用 于 解密 。 
全 
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答 如 果 算 法 的 保密 性 是 基于 保持 算法 的 秘密 和 安全 ， 这 种 算法 称 为 受 限制 的 算法 。 如 果 
而 有 人 无 意 中 暴 露 了 这 个 算法 的 秘密 ， 则 所 有 人 都 必须 改变 先前 的 算法 。 更 加 糟糕 的 是 ， 受 
限制 的 密码 算法 不 可 能 进行 质量 控制 或 标准 化 。 因 为 每 个 组 织 和 用 户 都 必须 有 他 们 自己 的 
特有 算法 ， 而 尽 可 能 地 避免 与 别人 的 相同 。 

尽管 有 一 些 或 多 或 少 的 缺陷 ， 受 限制 的 密码 算法 对 于 低 安全 级 别 的 应 用 来 说 ， 还 是 足 
以 应 付 的 ， 用 户 也 许 并 没有 注意 到 ， 或 者 压根 不 在 乎 他 们 系统 中 存在 的 那些 问题 。 

现代 密码 学 用 密 钥 解决 了 这 个 问题 ， 密 钥 用 K(Key) 来 表示 。K 可 以 是 很 多 数值 里 的 任 
意 值 , 密 钥 K 的 可 能 值 叫 作 密 钥 空 间 。 加 密 和 解密 算法 都 使 用 这 个 密 钥 ( 即 运算 依赖 于 密 钥 ， 
并 用 表示)， 这 样 ， 加 密 和 解密 的 过 程 如 图 9-2 所 示 。 


| 密 钥 


by 
明文 密 广 原始 明文 


9-2 ”使 用 同一 个 密 钥 进 行 加 密 解密 


在 有 些 算法 中 ， 加 密 和 解密 的 程序 使 用 不 同 的 密 钥 进 行 相关 的 计算 ， 也 就 是 说 ， 加 密 
密 钥 (此 处 称 为 KD 和 解密 密 钥 ( 称 为 Kz) 可 以 不 同 ， 具 体 如 图 9-3 所 示 。 


加 密 和 解密 
密 钥 密 钥 


明文 | BE | 密 文 | BE | 原始 明文 


图 9-3 使 用 两 个 不 同 的 密 钥 进行 加 密 和 解密 
所 有 这 些 算 法 的 安全 性 都 是 基于 密 钥 的 安全 性 ， 而 不 是 基于 算法 的 细节 的 安全 性 。 这 
就 意味 着 算法 可 以 公开 ， 也 可 以 被 分 析 ， 可 以 大 量 生产 使 用 算法 的 产品 ， 即 便 窃 听 者 知道 
了 算法 也 没有 关系 ， 只 要 不 知道 具体 的 密 钥 ， 就 无 法 得 知 信息 的 具体 内 容 。 
3. 密码 体制 


密码 体制 就 是 完成 加 密 和 解密 功能 的 密码 方案 。 近 代 密 码 学 中 所 出 现 的 密码 体制 可 以 
分 为 三 大 类 : 对 称 密码 体制 、 非 对 称 密码 体制 及 混合 密码 体制 。 

(1) 对 称 密码 体制 (Symmetric Key Cryptography) 

对 称 密码 体制 也 称 秘密 密 钥 密码 体制 、 单 密 钥 密码 体制 或 常规 密码 体制 。 对 称 密码 体 
制 的 基本 特征 ， 是 加 密 密 钥 和 解密 密 钥 相同 ， 如 图 9-4 所 示 。 

对 称 密码 体制 的 基本 元 素 包括 原始 明文 、 加 密 算法 、 密 钥 、 密 文 、 解 密 算法 、 发 送 方 ( 信 
源 )、 接 收 方 ( 信 宿 )， 以 及 攻击 者 。 

这 种 密码 体制 要 求 发 送 者 和 接收 者 在 安全 通信 前 ， 协 商 确定 一 个 密 钥 。 对 称 密码 体制 
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的 安全 性 主要 取决 于 两 个 因素 : 四 加 密 算 法 必须 足够 强大 ， 使 得 不 必 为 算法 保密 ， 仅 根据 
密 文 就 能 破译 出 消息 是 不 可 行 的 。@ 密 钥 的 安全 性 ， 密 钥 必 须 保密 ， 并 保证 有 足够 大 的 密 
钥 空 间 。 对 称 密码 体制 要 求 基于 密 文 和 加 密 /解密 算法 的 知识 就 能 破译 出 消息 的 做 法 是 不 
可 行 的 。 


加 密 器 和 解密 器 


9-4 ”对 称 密码 体制 模型 


对 称 密码 算法 的 优点 如 下 。 

加 密 、 解 密 处 理 速度 快 ， 具 有 很 高 的 数据 吞吐 率 ， 硬 件 加 密实 现 可 达到 每 秒 几 百 兆 字 
节 ， 软 件 也 可 以 达到 兆 字 节 每 秒 的 吞吐 率 ， 密 钥 相对 较 短 。 

缺点 如 下 。 

Q@ 密 钥 是 保密 通信 安全 的 关键 ， 发 送 方 必须 安全 、 受 善 地 把 密 钥 护送 到 接收 方 ， 不 
能 泄露 其 内 容 。 如 何 才 能 把 密 钥 安全 地 送 到 接收 方 ， 是 对 称 密码 算法 的 突出 问题 。 对 称 密 
码 算法 的 密 钥 分 发 过 程 十 分 复杂 ， 花 费 的 代价 高 。 

@ ”多 人 通信 时 ， 密 钥 组 合 的 数量 会 出 现 爆 炸 性 膨胀 ， 使 密 钥 分 发 变 得 更 加 复杂 ，N 
个 人 进行 两 两 通信 ， 总 共 需 要 的 密 钥 数 为 C; = N(N 一 1)/2。 而 且 良 好 的 密码 使 用 习惯 ， 是 
要 求 每 次 会 话 都 要 更 换 密 钥 。 

@ 通信 双方 必须 统一 密 钥 ， 才 能 发 送 保密 的 信息 。 如 果 发 送 方 与 接收 方 素 不 相识 ， 
就 无 法 向 对 方 发 送 秘 密 信息 了 。 

@ 除了 密 钥 管理 与 分 发 问题 , 对 称 密码 算法 还 存在 数字 签名 困难 问题 (通信 双方 拥有 
同样 的 信息 ， 接 收 方 可 以 伪造 签名 ， 发 送 方 也 可 以 否认 发 过 某 条 信息 )。 

(2) 非 对 称 密码 体制 (Asymmetric Key Cryptography) 

非 对 称 密码 体制 也 叫 公开 密 钥 密码 体制 、 双 密 钥 密码 体制 ， 如 图 9-5 所 示 。 


公开 密 钥 下; 私有 密 钥 Ka 
加 宣 
明文 m | 加 字 讲 换 密 文 C 
发 送 者 A “| CEu(m) | 信息 传送 信道 


图 9-5 ”公开 密 钥 密码 体制 模型 
其 原理 是 : 加 密 密 钥 与 解密 密 钥 不 同 ， 形 成 一 个 密 钥 对 ， 用 其 中 一 个 密 钥 加 密 的 结果 ， 


A 


算 | 只 能 用 配对 的 另 一 个 密 钥 来 解密 。 非 对 称 密码 体制 的 发 展 ， 是 整个 密码 学 发 展 史 上 最 伟大 
机 | 的 一 次 革命 ， 它 与 以 前 的 密码 体制 完全 不 同 。 这 是 因为 ， 非 对 称 密码 算法 基于 数学 问题 求 
解 的 困难 性 ， 而 不 再 是 基于 替代 和 换 位 算法 ， 另外， 非 对 称 密码 体制 使 用 具有 配对 关系 的 
两 个 不 同 密 钥 ， 一 个 可 以 公开 ， 称 为 公 钥 ， 一 个 只 能 被 密 钥 持 有 人 自己 秘密 保管 ， 称 为 私 
钥 ， 但 不 能 基于 公 钥 推导 出 私 钥 。 

而 非 对 称 密码 体制 的 产生 主要 基于 以 下 两 个 原因 : 一 是 为 了 解决 对 称 密码 体制 的 密 钥 管 
理 与 分 配 问题 ; 二 是 为 了 满足 对 数字 签名 的 要 求 。 因 此 ， 非 对 称 密码 体制 在 消息 的 保密 性 、 
密 钥 分 配 和 认证 领域 都 有 着 重要 的 意义 。 

在 非 对 称 密码 体制 中 ， 公 钥 可 以 是 公开 的 信息 ， 而 私 钥 是 需要 保密 的 。 加 密 算法 E 和 
解密 算法 D 也 都 是 公开 的 。 用 公 钥 对 明文 加 密 后 ， 仅 能 用 与 之 配对 的 私 钥 解 密 ， 才 能 恢复 
出 明文 ， 反 之 亦 然 。 

非 对 称 密码 体制 具有 以 下 优点 。 

Q@ ”网络 中 的 每 一 个 用 户 只 需要 保存 自己 的 私有 密 钥 , 则 NN 个 用 户 仅 需 产生 N 对 密 钥 ， 
密 钥 少 , 便于 管理 ， 且 每 一 个 私 钥 / 公 钥 对 可 以 在 一 段 相当 长 的 时 间 内 (甚至 数 年 ) 保 持 不 变 。 

@ ， 密 钥 分 配 简单 ， 不 需要 秘密 的 通道 和 复杂 的 协议 来 传送 密 钥 。 公 开 密 钥 可 基于 公 
开 的 渠道 (如 密 钥 分 发 中 心 ) 分 发 给 其 他 用 户 ， 而 私有 密 钥 则 由 用 户 自 己 来 保管 。 

@@ 可 以 实现 数字 签名 。 

非 对 称 密码 体制 具有 以 下 缺点 。 

与 对 称 密码 相 比 ， 非 对 称 密码 体制 的 加 密 、 解 密 处 理 速度 较 慢 ， 同 等 安全 强度 下 ， 非 
对 称 密码 体制 的 密 钥 位 数 要 求 多 一 些 。 

(3) 混合 密码 体制 (Mixed Key Cryptography) 

混合 密码 体制 是 将 对 称 密码 体制 与 非 对 称 密码 体制 相 结 合 ， 利 用 各 自 的 优势 形成 的 密 
码 体 制 。 在 实际 应 用 中 ， 用 非 对 称 密 钥 加 密 一 个 对 称 密 钥 ， 再 用 这 个 对 称 密 钥 加 密 真正 的 
消息 ， 具 体 如 图 9-6 所 示 。 


采用 传统 密码 体制 进行 通信 
明文 JJ。 加 密 变 换 密 文 C 
发 送 者 A C=E(m) 信息 传送 信道 
采用 公开 密 钥 密码 体制 对 传统 密码 体制 
的 密 钥 进行 加 密 后 的 通信 


信息 加 密 加 密 变 换 和 解密 变换 信息 解密 
密 钥 K CEa(K) K=De(C) 密 钥 下 
Ts es| 
BB 公开 密 钥 Es | 私有 密 钥 Ds 


9-6 混合 密码 体制 模型 


混合 密码 体制 结合 了 对 称 密码 体制 和 非 对 称 密码 体制 的 优点 ， 既 解决 了 对 称 加 密 中 需 
要 安全 分 发 通信 密 钥 的 问题 ， 也 解决 了 非 对 称 加 密 中 运算 速度 慢 的 问题 。 混 合 加 密 受 到 各 


NE 
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个 制定 未 来 公 钥 加 密 标准 的 组 织 的 高 度 重视 ，ISO 要 求 所 有 候选 公 钥 加 密 都 应 该 能 够 加 密 
任意 长 度 的 消息 ， 从 而 必须 适用 于 混合 加 密 。 


9.3 古典 密码 


古典 密码 是 密码 学 发 展 的 一 个 阶段 ， 也 是 近代 密码 产生 的 渊源 。 尽 管 古典 密码 大 都 很 
简单 ， 一 般 可 用 于 手工 或 机 械 方式 实现 其 加 密 和 人 解密， 但 目前 已 很 少 采 用 。 研 究 这 些 密码 
的 原理 有 助 于 理解 、 构 造 和 分 析 现 代 密码 。 


9.3.1 隐 写 术 


隐 写 术 是 信息 隐藏 的 一 种 手段 。 它 隐藏 消息 的 存在 ， 本 质 上 不 是 一 种 编码 加 密 技术 ， 
通常 在 一 段 普通 的 文字 中 嵌入 和 排列 一 些 词汇 或 字母 ， 隐 含 地 表达 真正 的 意思 。 一 些 实 
例如 下 。 

(1) 藏 头 诗 ，《 水 浒 传 》 一 一 吴 用 智 赚 玉 麒 鹿 。 

相信 很 多 人 都 对 中 国 四 大 名 著 的 《水 游 传 》 比 较 熟 悉 ， 大 多 数 人 也 都 看 过 电视 剧 中 的 
情节 。 梁 山 为 了 拉 卢 俊 义 入 伙 ， 智 多 星 吴 用 和 宋江 便 生出 一 段 “ 吴 用 智 赚 玉 麒麟 ”的 故事 
来 ， 利 用 卢 俊 义 正 为 躲避 “ 血 光 之 灾 ” 的 性 恐 心理 ， 在 卦 歌 中 暗藏 “ 卢 俊 义 反 ”四 字 ， 广 
为 传播 。 结 果 ， 成 了 官府 治罪 的 证 据 ， 终 于 把 卢 俊 义 “ 逼 ”上 了 梁山 。 

这 4 句 经 典 的 卦 歌 如 下 : 


芦花 从 中 一 扁舟 ， 
俊杰 俄 从 此 地 游 。 
义士 若 能 知 此 理 ， 
反 躬 难 逃 可 无 忧 。 

(2) 隐藏 情报 。 

在 一 段 看 似 普通 的 信息 中 隐藏 着 真正 的 含义 ， 如 “ 王 先生 : 来 信 收 悉 ， 你 的 盛情 真是 
难以 报答 。 我 已 在 昨日 抵达 广州 ， 秋 十 连绵， 每 天 需 备 伞 一 把 方 能 上 街 ， 苦 矣 ， 大 约 本 月 
中 旬 我 才能 返回 ， 届 时 再 见 。” 但 其 真正 要 表达 的 意思 却 是 “情报 在 雨伞 把 中 ”。 

(3) “量子 ”技术 隐形 传递 信息 。 

在 科幻 电影 或 者 神话 小 说 中 ， 常 常会 看 到 这 样 的 画面 某 人 突然 在 某 地 消失 ， 而 后 却 
在 别 的 地 方 莫名 其 妙 地 显现 出 来 。 这 种 来 无 影 去 无 踪 的 过 程 ， 从 物理 学 角度 可 以 想象 或 解 
释 为 隐形 传递 的 过 程 。 量 子 隐形 信息 传递 是 指 发 送 者 利用 量子 特性 的 独特 功能 ， 对 所 提取 
的 信息 通过 运用 量子 技术 ， 突 破 经 典 信息 系统 的 极限 ， 超 水 平 进行 信息 传递 。 

现 将 隐 写 术 的 优 缺 点 归纳 汇总 如 下 。 

隐 写 术 的 优点 : 能 够 被 某 些 人 使 用 ， 而 不 容易 发 现 他们 之 间 正 在 进行 秘密 通信 ;而 加 
密 则 很 容易 发 现 谁 与 谁 在 进行 秘密 通信 ， 这 表明 通信 本 身 可 能 是 重要 的 或 秘密 的 ， 或 表明 
通信 双方 对 其 他 人 需要 隐瞒 的 事情 ， 这 种 发 现 本 身 可 能 具有 某 种 意义 或 作用 。 

隐 写 术 与 加 密 技 术 相 比 ， 还 存在 一 些 缺 点 : 它 的 形式 简单 但 构造 费时 ， 需 要 大 量 的 开 


Q@_ 


销 来 隐藏 相对 较 少 的 信息 。 一 旦 系统 的 构造 方法 被 发 现 ， 就 会 变 得 完全 没有 价值 (当然 ， 如 
果 在 隐 写 术 的 构造 方法 中 加 入 了 某 种 形式 的 密 钥 ， 则 这 个 问题 可 以 克服 。 另 一 种 可 选 方案 
络 | 是 一 条 信息 先 被 加 密 ， 然 后 再 使 用 隐 写 术 隐藏 )。 隐 写 术 一 般 无 稳健 性 ， 如 数据 改动 后 ， 隐 
从 藏 的 信息 不 能 被 恢复 。 

基 


川 9.3.2 ”古典 单 码 加 密 法 
单 码 加 密 是 一 种 替代 加 密 法 ， 其 中 的 每 个 明文 只 能 被 唯一 的 一 个 密 文字 母 所 蔡 代 。 
1， 凯撒 密码 


凯撒 密码 是 最 古老 的 蔡 代 密码 ， 据 说 是 Julius Caesar 发 明 的 ， 并 由 此 而 得 名 。 蔡 代 密 
码 是 用 一 组 密 文字 母 蔡 代 一 种 明文 字母 的 隐藏 明文 的 方法 ， 这 种 加 密 方法 保持 明文 字母 的 
排列 位 置 不 变 。 以 英文 字母 为 例 ， 它 把 D 换 成 a，E 换 成 b，F 换 成 ce， 以 此 类 推 …… 也 就 
是 说 ， 密 文 的 字母 相对 于 明文 字母 循环 移动 3 个 位 置 ， 因 此 ， 凯 撒 密 码 又 被 称 为 循环 移 位 
密码 。 如 果 将 凯撒 加 密 通 用 化 ， 即 允许 加 密 字 母 不 仅 移动 3 个 位 置 ， 而 且 是 可 以 移动 用 户 
自 定 义 的 Y 个 位 置 ， 在 这 样 的 情况 下 ， 就 是 通常 加 密 算 法 里 面 的 密 钥 ， 也 就 是 这 个 循环 
移 位 密码 中 的 密 钥 及 。 

这 种 密码 的 优点 是 : 密 钥 简单 ， 易 于 记忆 。 缺 点 是 : 由 于 明文 和 密 文 的 对 应 关系 过 于 
简单 (K 取 值 仅 有 25 种 可 能 ， 使 用 穷 举 攻击 就 很 容易 破解 )， 所 以 安全 性 较 差 。 

2.， 仿 射 密码 


仿 射 密码 和 移 位 密码 一 样 ， 也 是 一 种 替代 密码 。 简 单 地 说 ， 仿 射 密码 是 对 于 电 撒 密码 
的 一 种 改进 。 其 核心 思想 是 : 使 明文 字母 和 密 文字 母 之 间 的 映射 关系 没有 一 定 的 规律 可 循 。 
例如 ， 将 26 个 字母 分 别 映射 成 另外 的 字母 ， 如 表 9-1 所 示 。 


表 9-1 单字 母 映射 表 


Wxlalelclpleleloln |i lxlr mlslole lolalslrivlv yxylz 


sx)wlolrlelvlrlr lole als plale ol rly vd uels 
男 一 种 更 加 复杂 的 映射 方式 , 是 由 一 个 不 同 字母 组 成 的 单词 或 者 少 于 26 个 字母 的 字符 
串 ， 例 如 ， 密 钥 为 JUOSTIN， 那 么 ， 就 会 得 到 如 表 9-2 所 示 的 映射 关系 。 


表 9-2 ” 某 个 单词 或 字母 串 为 密 钥 的 映射 表 


密 文 |J |U|IS|IT|IIINIAIBIC|IDIEIFIGIHIKILIMIO|IPIQIRIUIVIWXIY 

不 过 ， 如 果 给 出 一 段 密 文 ， 还 是 可 以 找到 一 些 破解 的 突破 口 。 一 种 最 显而易见 的 方法 ， 
是 猜测 明文 中 可 能 出 现 的 单词 或 短语 。 有 重复 模式 的 单词 以 及 使 用 频率 很 高 的 单词 ， 以 及 
常用 作 起 始 和 约束 的 字母 ， 都 可 以 给 破译 者 猜测 字母 排序 的 一 些 线索 。 另 一 种 方法 是 利用 
自然 语言 的 统计 数据 ， 根 据 使 用 和 组 合 的 概率 的 高 低 进 行 第 选 。 由 于 蔡 代 密码 是 明文 字母 
与 密 文字 母 之 间 的 一 一 映射 ， 所 以 ， 在 密 文 中 ,依然 保持 了 明文 中 字母 的 分 布 和 出 现 概率 ， 


RE 


这 就 使 得 这 种 加 密 方法 的 安全 性 大 大 降低 。 
9.3.3 古典 多 码 加 密 法 


多 码 加 密 法 的 目的 ， 是 通过 用 多 个 密 文字 母 来 蔡 代 同一 个 明文 字母 ， 从 而 消除 字母 出 
现 频 率 的 特性 。 多 码 加 密 法 是 为 了 用 来 对 付 频率 分 析 工 具 的 ， 多 码 加 密 法 也 是 一 种 蔡 代 加 
密 法 。 

1. Playfair 密码 


对 简单 的 单 表 蔡 代 密码 ， 就 算 有 很 大 的 密 钥 空间 ， 也 难以 保证 其 安全 性 。 于 是 出 现 了 
多 字母 蔡 代 密码 。 最 著名 的 多 字母 替代 密码 是 Playfair 密码 。Playfair 密码 出 现 于 1854 年 ， 
英国 军队 在 第 一 次 世界 大 战 期 间 对 其 进行 了 使 用 。 它 把 明文 中 的 双 字 母音 节 作为 一 个 单元 ， 
并 将 其 转换 成 密 文 的 双 字母 音节 ， 相 同 的 明文 字母 可 能 被 映射 为 不 同 的 密 文字 母 ， 以 此 掩 
盖 明 文字 母 出 现 的 频率 。Playfair 密码 基于 一 个 5x5 字母 矩阵 ， 该 矩阵 使 用 一 个 关键 词 ( 密 
钥 ) 来 构造 ， 其 构造 方法 是 : 从 左 至 右 、 从 上 至 下 依次 填 入 关键 词 的 字母 (去 除 重复 的 字母 )， 
然后 ， 再 以 字母 表 的 顺序 依次 填 入 其 他 的 字母 。 加 密 时 字母 I 和 J 了 被 当 作 同 一 字母 。 

对 每 一 对 明文 字母 pv、p: 的 加 密 规则 如 下 。 

(1) 若 p1、p; 在 同一 行 ， 则 对 应 的 密 文 cv、c 分 别 是 紧 靠 p/、p; 右 端的 字母 。 其 中 第 
一 列 被 看 作 是 最 后 一 列 的 右 方 (解密 时 相反 )。 

(2) 若 pl、pz 在 同一 列 ， 则 对 应 的 密 文 cv、ca 分 别 是 紧 靠 pt、pz 下 方 的 字母 。 其 中 第 
一 行 被 看 作 是 最 后 一 行 的 下 方 (解密 时 反 向 )。 

(3) 若 pl、p: 既 不 在 同一 行 ， 也 不 在 同一 列 ， 则 ci、c: 是 由 pi 和 p> 确定 的 矩形 的 其 他 
两 角 的 字母 ， 并 且 cl 和 pl、c: 和 p; 同行 (解密 时 处 理 方法 相同 )。 

(4) 若 pi=p， 则 插入 一 个 字母 (比如 Q， 需 要 事先 约定 ) 在 重复 字母 之 间 ， 并 用 前 述 方 
法 处 理 。 

(5) 若 明文 字母 为 奇数 ， 则 在 明文 的 末端 添加 某 个 事先 约定 的 字母 作为 填充 。 

例 1: 若 密 钥 词 为 monarchy， 则 构造 的 字母 矩阵 如 图 9-7 所 示 。 


图 9-7 ”字母 矩阵 


如 果 明 文 是 : p = playfair cipher 

先 将 明文 分 成 两 个 一 组 : pl ay fa ir ci ph er 

基于 图 9-7 的 对 应 密 文 为 : QP NB IO( 或 JO) KA BE VF KM 

对 Playfair 密码 的 分 析 : Playfair 有 26*= 676 种 字母 对 组 合 ， 因 此 ， 对 单个 的 字母 对 进 
行 判断 要 困难 得 多 。 字 母 出 现 概 率 在 一 定 程度 上 被 均匀 化 ， 利 用 使 用 频率 分 析 字 母 对 就 更 
困难 一 些 。 但 是 它 的 密 文 依然 保留 了 相当 的 明文 语言 的 结构 信息 ， 几 百 个 字母 的 密 文 就 足 


入 | 够 分 析出 规律 了 。 
2， 维 吉 尼 亚 密码 


安 维 吉 尼 亚 (Vigenere) 是 法 国 的 密码 学 专家 , Vigenere 密码 是 以 他 的 名 字 命 名 的 。Vigenere 
全 | 密码 使 用 一 个 词组 作为 密 钥 ， 密 钥 中 ， 每 一 个 字母 用 来 确定 一 个 替代 表 ， 每 一 个 密 钥 字 母 
大 被 用 来 加 密 一 个 明文 字母 ， 第 一 个 密 钥 字母 加 密 明 文 的 第 一 个 字母 ， 第 二 个 密 钥 字 母 加 密 
明文 的 第 二 个 字母 ， 等 所 有 密 钥 字母 使 用 完 后 ， 密 钥 再 循环 使 用 。 很 显然 ， 密 钥 的 长 度 成 
为 密 文 的 周期 。 

为 了 更 好 地 理解 Vigenere 密码 的 加 密 方案 ， 需 要 构造 一 个 表 ， 如 图 9-8 所 示 ，26 个 密 
文 的 每 个 字母 都 是 水 平 排列 的 ， 最 左边 的 一 列 为 密 钥 字母 ， 最 上 面 一 行为 明文 字母 。 


明文 字母 
Wl AE RR 
alABCDEF GHI KL MNOPQRS TUV WX YZ 
BCD EF oH EL MNOP QR SS TUVYV WX YZ A 
tip 
diIDEFGHI TEKLMNOPQRS TUYVWXYZABC 
SIE YO HE EE MWOPOQORS TV YT WE TL ADBED 
flIF GHI I ELMNOPQORS TUVWXYZABCDE 
区 | 局 :更 TOP RS TUV WX YZABCDETP 
NOPOQORSTU VVWVAETERBECDNEFG 
11 MNOPOQORS TU YY WEY ZL ABETDEFSH 
EL MNOPOQORS TUVWXYZ ABCDEF GHEYI 
kKL MNOPOQORS TUV WX YZ ABC DEF G HE 1 
,llILMNOPRQRRSTUVWXYZABCDEFGHI TK 
人 
误 nlINoPQRsSTUVWXYZABCDEFGHIJIJKLM 
oO PQORS TUVWXYZABCDEF OHI TEL MN 
PIP QORS TUV WX YZABCDE FE GHI IT KL MNO 
人 | 六.S TU VV WX YZAPBCDEFOGHERIE TITEL MNOP 
fiIR Ss TUVUV WX YZABCDEF GHI TKKL MNOP OQ 
tls TUV WA YZ ABCDEF GHI IJ EL MNOP QR 
D1 
uiIUVU VV WX YZABCDEF GHI TEKL MNOPPQ RS T 
wl 
WW TZ ABCDEF GHTI I KL MNOPOQORS TUYVY 
和 | 共和 记 和 ABCDEFPFT OHI EL MNO POQORSTU VW 
BDEF OHIT EL NO PoOR SITU YW 
A 人 EL 下 
9-8 Vigenere 密码 表 
加 密 过 程 : 给 定 一 个 密 钥 字 母 k 和 一 个 明文 字母 p， 密 文字 母 就 是 位 于 k 所 在 行 与 p 


所 在 列 的 交叉 点 上 的 那个 字母 。 

解密 过 程 : 由 密 钥 字母 决定 行 ， 在 该 行 中 找到 密 文字 母 ， 密 文字 母 所 在 列 的 列 首 对 应 
的 明文 字母 就 是 相应 的 明文 。 

例 2: p= data security，k=best。 

根据 密 钥 的 长 度 ， 首 先 将 明文 分 解 成 长 度 为 4 的 序列 : data secu rity。 每 一 序列 利 
用 密 钥 k= best 进行 加 密 ， 得 密 文 : c=EELT TIUN SMLR。 对 应 的 解密 方法 如 前 所 述 。 


3. Hill 密码 


Hill 密码 是 另 一 种 多 字母 蔡 代 密码 ， 它 是 由 数学 家 Lester Hill 于 1929 年 研制 的 。 由 于 
该 密码 是 以 联 立 方程 为 基础 的 加 密 法 ， 所 以 也 称 Hill 密码 为 方程 加 密 法 。 

与 前 面 介绍 的 多 表 蔡 代 密 码 不 同 的 是 ，Hill 密码 要 求 首 先 将 明文 分 成 同等 规模 的 若干 
个 分 组 (最 后 一 个 分 组 可 能 涉及 到 填充 )， 每 一 个 分 组 被 整体 加 密 变换 ， 即 Hill 密码 属于 分 
组 加 密 ， 其 余 已 介绍 的 密码 属于 流 加 密 。Hill 密码 算法 的 基本 思想 是 : 将 一 个 分 组 中 的 4 
个 连续 的 明文 字母 通过 线性 变换 转换 为 4 个 密 文 字母 。 这 种 替代 由 4d 个 线性 方程 决定 ， 其 
中 每 个 字母 被 分 配 一 个 数值 0，1，.…，25)。 解 密 时 ， 只 需要 做 一 次 逆 变换 就 可 以 了 ， 密 角 
就 是 变换 矩阵 本 身 。 即 : 

明文 : m= mm,…m, 

密 文 : c=E(m)=cc,-…cy 


式 中 : 
ci =km + km, +-…+ km (mod26) 
c= km + km, + + kma(mod26) 
cy = km + ksm, + + kma(mod26) 
或 者 写成 矩阵 形式 : 
ky hy hy 
kp kh 
(Gs) (ma 
ka ky ka 
即 密 文 分 组 = 明文 分 组 x 密 钥 和 矩阵 。 
例 3: p=Hill， 使 用 的 密 钥 如 下 。 
8695 
_| 65910 
|5849 
106 114 
Hill 被 数字 化 后 的 4 个 数字 是 : 7，8，11，11。 所 以 : 


S69.5 


65910 
c=0 8 11 1)| s % 4 9 |od29=(@.88.29=QIY) 


106 114 


i 


PF 


解密 时 ， 按 照 算法 ， 计 算 其 逆 运 算 即 可 ， 这 里 不 再 详 述 。 

很 明显 ,基于 Hill 密码 的 加 解密 的 长 消息 被 分 组 , 分 组 的 长 度 由 密 钥 矩阵 的 维 数 决定 。 
与 Playfair 算法 相 比 ，Hill 密码 的 强度 在 于 完全 隐藏 了 单字 母 的 频率 。 字 母 和 数字 的 对 应 也 
可 以 改 成 其 他 方案 ， 使 得 攻击 更 不 容易 成 功 。 一 般 来 说 ，Hill 密码 能 比较 好 地 抵抗 频率 法 
的 分 析 ， 对 抗 仅 有 密 文 的 攻击 强度 较 高 ， 但 易 受 已 知 明文 攻击 。 


9.3.4 古典 换 位 加 密 法 


换 位 加 密 法 不 是 用 其 他 字母 来 替代 已 有 字母 ， 而 是 重新 排列 文本 中 的 字母 ， 以 便 打破 
密 文 的 结构 特性 。 古 典 置 换 加 密 法 是 一 种 简单 的 换 位 加 密 法 ， 其 加 密 过 程 类 似 于 洗 一 副 纸 
牌 。 其 加 解密 的 方法 如 下 : 把 明文 字符 以 固定 的 宽度 m( 分 组 长 度 ) 水 平地 ( 按 行 ) 写 在 一 张 纸 
上 (如 果 最 后 一 行 不 足 m， 需 要 补充 固定 字符 )， 按 1，2，...，m 的 一 个 置换 x 交换 列 的 位 置 
次 序 ， 再 按 垂直 方向 ( 即 按 列 ) 读 出 ， 即 得 密 文 。 

解密 就 是 将 密 文 按 相 同 的 宽度 m 垂直 写 在 纸 上 , 按 置换 x 的 逆 置 换 交 换 列 的 位 置 次 序 ， 
然后 水 平地 读 出 ， 得 到 明文 。 置 换 x 就 是 密 钥 。 

例 4: 设 明 文 m= Joker is a murderer, 密 钥 r=(4 1)(3 2)( 即 x(4)=1, 7(1)=4, 7(3)=2, 7(2)=3)， 
即 按 4，3，2，1 列 的 次 序 读 出 ， 得 到 密 文 ， 试 写 出 加 解密 的 过 程 与 结果 。 

解 : 如 图 9-9 所 示 ， 加 密 时 ， 把 明文 字母 按 长 度 为 4 进行 分 组 ， 每 组 写成 一 行 ， 则 明 
文 m=Joker is a murderer 被 写成 4 行 4 列 ， 然 后 把 这 4 行 4 列 按 4，3，2，1 列 的 次 序 写 出 ， 
得 到 密 文 ;解密 时 ， 按 相反 步骤 ( 先 按 列 再 按 行 )， 就 能 得 到 正确 的 明文 。 


由 
EE 


Ea 


明文 : Joker is amurderer 密 文 : eadrksreoiurjrme 
按 4 字 母 一 行 写 出 按 4 字 母 一 列 瑟 出 
joke ekoj 
risa asir 
murd dmm 
erer rere 
按 列 写 出 的 顺序 : 43 21 交换 列 的 顺序 : 432 1 
按 列 写 出 密 文 : eadrksreoiurjrme 按 行 写 出 明文 : Jokeris a murerer 


图 9-9 换 位 加 密 法 加 解密 过 程 与 结果 
9.4 ”对 称 密码 体制 
9.4.1 计算 对 称 密码 的 特点 


计算 对 称 密 钥 密码 :又 称 为 现代 对 称 密 钥 密码 ， 与 古典 密码 均 属 于 对 称 密码 体制 ， 两 者 
具有 以 下 主要 区 别 。 


1 本 章 若 未 做 特别 说 明 ， 则 对 称 密码 均 指 计算 对 称 密 钥 密码 ， 如 后 面 将 会 提 到 的 DES、AES 等 。 
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1， 面向 对 象 不 同 


古典 密码 是 面向 字符 的 密码 (Character-oriented Cipher)， 计 算 对 称 密 钥 密码 是 面向 比特 
的 密码 (Bit-oriented Cipher)。 


2. 设计 思想 不 同 


古典 密码 的 设计 没有 考虑 Kerckhoff 准则 , 因此 , 古典 密码 的 安全 性 基于 算法 和 密 钥 的 
同时 保密 ; 而 计算 对 称 密 钥 密码 则 考虑 了 Kerckhoff 准则 ,因此 ， 其 安全 性 必须 只 基于 密 钥 
的 保密 。 

3. 针对 的 敌手 不 同 


古典 密码 针对 的 敌手 是 人 ， 因 此 算法 通常 是 : 已 知 算法 和 密 钥 手 算 可 行 ， 而 未 知 算法 
和 密 钥 则 手 算 不 可 行 ， 计 算 对 称 密 钥 密码 的 敌手 面向 人 和 计算 机 ， 因 此 算法 的 设计 必须 实 
现 : 已 知 密 钥 ， 计 算 机 在 计算 上 可 行 ， 未 知 密 钥 ， 计 算 机 在 计算 上 不 可 行 。 
9.4.2 流 密码 

1.， 流 密码 概述 

流 密码 (Stream Cipher) 也 称 序列 密码 ， 是 对 称 密码 算法 的 一 种 。 流 密码 是 将 明文 划分 成 
字符 (如 单个 字母 )， 或 其 编码 的 基本 单元 (如 按 位 )， 字 符 分 别 与 密 钥 流 作用 进行 加 密 ， 解 密 
时 ， 以 同步 产生 同样 的 密 钥 流 实现 。 流 密码 往往 依赖 于 一 个 随机 数 序 列 ， 这 样 ， 序 列 算法 
的 安全 性 取决 于 随机 数 序列 的 安全 性 。 密码 学 中 利用 数学 方法 产生 的 随机 数 称 为 伪 随 机 数 ， 
因为 它们 不 是 真正 随机 的 ， 只 是 重复 的 周期 非常 大 而 已 。 因 此 ， 流 密码 强度 完全 依赖 于 密 
钥 序列 的 随机 性 (Randomness) 和 不 可 预测 性 (Unpredictability)。 设 计 流 密码 的 核心 问题 ， 是 
密 钥 流 的 产生 以 及 保持 收发 两 端 密 钥 流 的 精确 同步 。 典 型 的 序列 算法 有 RC4、SEAL 等 。 

(1) 流 密码 的 基本 体制 

流 密码 的 基本 思想 : 设 明文 流 M = mm,…m,， 密 钥 流 =…( 密 钥 流 由 密 钥 或 种 
子 密 钥 通 过 密 钥 流 生成 器 得 到 )， 则 存在 如 下 关系 。 

加 密 : C=ac…c(c = Er(m),i=1,2,…,n) 

解密 : M =mm,-…m,(m, = Di(c,),i=1,2,…,n) 

在 现代 流 密码 中 ,这 里 的 m,c, 都 是 7 位 的 字 (Word)， 即 明文 流 中 ， 每 个 + 位 的 字 用 
流 密 钥 中 位 的 字 加 密 ， 生 成 密 文 流 中 相应 + 位 的 字 。 典 型 情况 ， 如 x =1 或 8。 现代 流 密码 
的 关键 ， 在 于 如 何 生成 密 钥 流 。 现 代 流 密码 分 为 同步 流 密码 和 自 同 步 流 密码 两 种 。 

Q@ 同步 流 密 码 (Synchronous Stream Cipher) 

在 一 个 同步 流 密码 中 ， 密 钥 是 独立 于 明文 和 密 文 的 ， 即 密 钥 流 的 生成 和 使 用 与 明文 比 
特 或 密 文 比特 无 关 。 对 于 同步 流 密 码 ， 只 要 通信 双方 的 密 钥 序列 产生 器 具有 相同 的 种 子 密 
钥 和 相同 的 初始 状态 ， 就 能 产生 相同 的 密 钥 序列 。 在 保密 通信 中 ， 通 信 双 方 必须 保持 精确 
的 同步 ， 接 收 方才 能 正确 解密 ， 否 则 ， 接 收 方 将 不 能 正确 解密 。 例如， 如 果 通 信 中 丢失 或 
增加 了 一 个 密 文字 符 ， 则 接收 方 的 解密 将 一 直 错 误 ， 直 到 重新 同步 为 止 。 这 是 同步 流 密码 
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的 一 个 缺点 。 但 是 ， 同 步 流 密码 对 失 步 的 敏感 性 使 我 们 很 容易 检测 插入 、 删 除 、 重 放 等 主 
动 攻击 。 同 步 流 密码 的 一 个 优点 是 没有 错误 传播 ， 当 通信 中 某 些 密 文 字符 产生 了 错误 (如 0 
变 成 1，1 变 成 0 时 ， 只 影响 相应 字符 的 解密 ， 不 影响 其 他 字符 。 

@ 自 同步 流 密码 (Selfsynchronous Stream Cipher) 

自 同步 流 密码 密 钥 流 的 产生 与 密 钥 和 已 经 产生 的 固定 数量 的 密 文 字符 有 关 ， 即 是 一 种 
记忆 变换 的 流 密码 。 由 于 自 同步 流 密码 的 密 钥 序列 与 明文 ( 密 文 ) 相 关 ， 所 以 ， 加 密 时 ， 如 
果 某 位 明文 出 现 错误 (如 0 变 成 1，1 变 成 0)， 就 会 导致 后 续 的 密 文 也 发 生 错误 。 解 密 时 ， 
如 果 某 位 密 文 出 现 错误 ， 就 会 导致 后 续 的 明文 也 发 生 错 误 ， 从 而 造成 错误 传播 。 具 体 的 加 
解密 错误 传播 长 度 与 其 密 钥 流产 生 算法 的 结构 有 关 。 对 于 自 同步 流 密码 ， 在 失 步 (如 密 文 出 
现 插 入 或 删除 ) 后 ， 只 要 接收 端 连续 收 到 一 定数 量 的 正确 密 文 后 ， 通 信 双 方 的 密 钥 流 产生 器 
便 会 自动 地 恢复 同步 ， 因 此 ， 被 称 为 自 同 步 流 密 码 。 

(2) 流 密码 设计 的 基本 原则 

加 密 序列 的 周期 要 长 。 伪 随机 数 发 生 器 实质 上 使 用 的 是 产生 确定 的 比特 流 的 函数 ， 该 
比特 流 最 终 将 出 现 重复 ， 重 复 的 周期 越 长 ， 密 码 分 析 的 难度 就 越 大 。 这 与 Vigenere 密码 的 
考虑 从 本 质 上 看 是 一 致 的 ， 即 密 钥 越 长 ， 密 码 分 析 越 困难 。 

密 钥 流 应 该 尽 可 能 地 接近 于 一 个 真正 的 随机 数 流 的 特征 。 例 如 ，1 和 0 的 个 数 应 近似 
相等 。 若 密 钥 流 为 字 节 流 ， 则 所 有 256 种 可 能 的 字 节 值 出 现 的 频率 应 该 近似 相等 。 

密 钥 流 的 随机 性 越 好 ， 则 密 文 越 随 机 ， 密 码 分 析 就 越 困难 。 

伪 随 机 数 发 生 器 的 输出 取决 于 输入 密 钥 的 值 。 为 了 防止 穷 举 攻击 ， 密 钥 应 该 足够 长 ， 
对 于 分 组 密码 ， 也 要 有 同样 的 考虑 。 因 此 ， 从 目前 的 软 硬 件 技术 来 看 ， 至 少 应 当 保 证 密 钥 
长 度 不 小 于 128 位 。 

通过 设计 合理 的 伪 随 机 数 发 生 器 ， 流 密码 可 以 提供 与 相应 密 钥 长 度 分 组 密码 相当 的 安 
全 性 。 流 密码 的 主要 优点 是 ， 相 对 于 分 组 密码 来 说 ， 其 速度 更 快 ， 而 且 需 要 编写 的 代码 更 
短 。 分 组 密码 的 优点 ， 是 可 以 重复 使 用 密 钥 。 然 而 ， 如 果 用 流 密码 对 两 个 明文 加 密 时 使 用 
相同 的 密 钥 ， 则 密码 分 析 就 会 相当 容易 。 如 果 对 两 个 密 文 流 进行 异 或 ， 得 出 的 结果 就 是 两 
个 明文 的 异 或 。 如 果 明 文 仅仅 是 文本 串 、 信 用 卡号 或 者 其 他 已 知 特征 的 字 节 流 ， 则 密码 分 
析 就 极 易 成 功 。 


2. 流 密码 实例 


使 用 流 密码 的 例子 很 多 ， 本 章 仅 以 一 次 一 密 密 码 和 RC4 为 例 ， 做 简单 的 介绍 。 

(1) 一 次 一 密 密 码 (One-time Pad) 

一 种 理想 的 加 密 方 案 , 叫 作 一 次 一 密 密 码 ， 由 Major Joseph Mauborgne 和 AT 区 工 公司 
的 Gilbert Vermam 在 1917 年 发 明 , 一 次 一 密 乱 码 本 是 一 个 大 的 不 重复 的 真 随 机 密 钥 字母 集 ， 
这 个 密 钥 字母 集 被 写 在 几 张 纸 上 ， 并 一 起 粘 成 一 个 乱码 本 。 发 送 方 用 乱码 本 中 的 每 一 密 钥 
字母 准确 地 加 密 一 个 明文 字符 ， 每 个 密 钥 只 用 一 次 。 加 密 是 明文 字符 和 一 次 一 密 乱码 本 密 
钥 字 符 的 模 26 加 法 。 

在 这 种 密码 中 ， 密 钥 完 全 是 随机 选 出 的 ， 并 且 长 度 相 同 ， 每 一 密 钥 序列 和 明文 序列 都 
是 等 概率 地 出 现 ， 对 方 没有 任何 信息 来 确认 哪 一 密 钥 序 列 和 明文 消息 是 正确 的 ， 在 理论 上 
是 不 可 破译 的 ， 无 条 件 安全 。 但 这 种 密码 在 使 用 时 ， 要 求 密 钥 与 明文 具有 相同 的 长 度 ， 且 
不 可 重复 使 用 ， 增 加 了 密 钥 分 配 与 管理 的 困难 。 通 常 ， 采 取 的 应 对 措施 是 用 一 个 较 小 的 密 
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钥 来 伪 随 机 地 生成 密 钥 流 。 

(2) RC4 

RC4 是 Ronald Rivest 在 1987 年 为 RSA 公司 设计 的 一 种 流 密码 ， 它 是 一 个 可 变 密 钥 长 
度 、 面 向 字 节 操作 的 流 密码 。 该 算法 以 随机 置换 为 基础 。 每 输出 一 字 节 的 结果 仅 需 8~16 
条 机 器 操作 指令 .RC4 是 一 种 得 到 广泛 应 用 的 流 密码 体制 , 特别 是 在 使 用 安全 套 接 字 层 SSL 
协议 的 Intemet 通信 和 无 线 通 信和 领域 的 信息 安全 方面 ， 如 它 被 作为 无 线 局 域 网 标准 IEEE 
802.11 中 WEP 协议 的 一 部 分 。 

RC4 算法 非常 简单 ， 易 于 描述 : 用 1~256 个 字 节 的 可 变 长 度 密 钥 初始 化 一 个 256 字 节 
的 状态 矢量 S，S 的 元 素 记 为 S[0]，S[1]，...，S[255]， 从 始 至 终 置 换 后 的 S 包含 0~255 的 
所 有 8 比特 数 。 对 于 加 密 和 解密 ， 字 节 K 由 S 中 的 256 个 元 素 按 一 定 方式 选 出 一 个 元 素 而 
生成 。 每 生成 一 个 K 的 值 ，S 中 的 元 素 就 会 被 重新 置换 一 次 。 

关于 RC4 流 密码 算法 的 具体 实现 ， 这 里 就 不 再 详 述 ， 感 兴趣 的 读者 可 自行 查阅 相关 的 
资料 。 


9.4.3 ”分 组 密码 


1.， 分 组 密码 概述 

与 流 密码 每 次 加 密 处 理 数据 流 的 一 位 或 一 个 字符 不 同 ， 分 组 密码 处 理 的 单位 是 一 组 明文 ， 
即将 明文 消息 编码 后 的 数字 序列 mu,ma ,mp :ma 划分 成 长 度 为 工 位 的 组 m= (os :2 ， 
各 个 长 度 为 工 的 分 组 分 别 在 密 钥 k=(, 所 ,局 ,…,,) ( 密 钥 长 度 为 1) 的 控制 下 ， 变 换 成 与 明 
文 组 等 长 的 一 组 密 文 输出 数字 序列 c=(c,c,c,,…,ci,)。 工 通常 为 64、128、256 或 512 位 。 

典型 的 分 组 密码 算法 有 : 数据 加 密 标准 (Data Encryption Standard，DES)、 国 际 信 息 加 
密 算法 (International Data Encryption Algorithm，IDEA)、 高 级 加 密 标准 (Advanced Encryption 
Standard，AES) 等 。 

分 组 密码 模型 如 图 9-10 所 示 。 


位 明文 分 组 工 位 明文 分 组 


| m= (mm :1,1) | m=(mb: mm, MM) 


+ 位 密 钥 分 组 


| ews 
C=(C0:C1:C62, C13) C=(C0:C1:G C71) 


工 位 密 文 分 组 工 位 密 文 分 组 


9-10 分 组 密码 模型 


分 组 密码 算法 实际 上 就 是 在 密 钥 的 控制 下 ， 通 过 某 个 置换 ， 来 实现 对 明文 分 组 的 加 密 
变换 。 为 了 保证 密码 算法 的 安全 强度 ， 对 密码 算法 的 要 求 如 下 。 
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(1) 分 组 长 度 足 够 大 

当 分 组 长 度 较 小 时 , 分 组 密码 类 似 于 古典 的 蔡 代 密码 , 它 仍然 保 留 了 明文 的 统计 信息 ， 
这 种 统计 信息 将 给 攻击 留 下 可 乘 之 机 ， 攻 击 者 可 以 有 效 地 穷 举 明文 空间 ， 得 到 密码 变换 
本 身 。 

(2) 密 钥 量 足 够 大 

分 组 密码 的 密 钥 所 确定 的 密码 变换 只 是 所 有 置换 中 极 小 的 一 部 分 。 如 果 这 一 部 分 足够 
小 ， 攻 击 者 可 以 有 效 地 穷 举 明文 空间 ， 确 定 所 有 的 置换 。 这 时 ， 攻 击 者 就 可 以 对 密 文 进行 
解密 ， 以 得 到 有 意义 的 明文 。 

(3) 密码 变换 足够 复杂 

让 攻击 者 除了 穷 举 法 外 ， 找 不 到 其 他 快捷 的 破译 方法 。 在 实践 中 ， 经 常 采取 以 下 两 种 
方法 来 实现 上 述 要 求 。 

@ 将 大 的 明文 分 组 成 几 个 小 段 ， 分 别 完成 各 个 小 段 的 加 密 置换 ， 最 后 进行 合并 操作 ， 
实现 使 总 的 分 组 长 度 足 够 大 。 这 样 的 做 法 有 利于 对 称 密码 的 实际 分 析 和 评测 ， 以 保证 密码 
算法 的 强度 。 

@ 采用 所 谓 的 乘积 密码 (Product Ciphers)。 乘 积 密码 就 是 以 某 种 方式 连续 执行 两 个 或 
多 个 密码 变换 。 例 如 ,， 设 有 两 个 子 密码 变换 五 和 五， 则 先 以 五 对 明文 进行 加 密 ,， 然后 再 以 工 
对 所 得 的 结果 进行 加 密 。 其 中 ， 工 的 密 文 空间 与 工 的 明文 空间 相同 。 如 果 恰 当 的 话 ， 乘 积 
密码 可 以 有 效 地 掩盖 密码 变换 的 弱点 , 构成 比 其 中 任意 一 个 密码 变换 强度 更 高 的 密码 系统 。 

2， 分 组 密码 原理 


现代 所 使 用 的 大 多 数 对 称 分 组 加 密 算法 都 是 基于 Feistel 分 组 密码 结构 的 ， 其 遵循 的 基 
本 指导 原则 是 Shannon 提出 的 扩散 (Diffusion) 和 混乱 (Confusion)。 扩 散 和 混乱 是 分 组 密码 最 
本 质 的 要 求 ， 它 们 分 别 基于 换 位 或 蔡 代 操作 来 实现 。 

扩散 就 是 重新 排列 消息 中 的 每 一 比特 ， 以 使 明文 中 的 任何 元 余 度 能 扩散 到 整个 密 文 ， 
将 每 一 比特 明文 的 影响 尽 可 能 迅速 地 作用 到 较 多 的 输出 密 文 位 中 去 ， 或 密 文 的 每 一 比特 要 
取决 于 部 分 或 全 部 明文 位 ， 以 便 隐藏 明文 的 统计 特性 。 

混乱 是 指 密 文 和 明文 之 间 的 统计 特性 关系 尽 可 能 地 复杂 化 ， 其 目的 在 于 隐藏 密 文 和 密 
钥 之 间 的 关系 ， 以 利于 阻止 攻击 者 利用 密 文 来 寻找 密 钥 ， 换 句 话说 ， 如 果 密 钥 的 一 位 发 生 
改变 ， 要 求 密 文 的 绝 大 部 分 或 全 部 位 都 随 之 发 生变 化 。 

3.， 分 组 密码 的 操作 模式 


明文 分 组 固定 ， 消 息 的 数据 量 不 同 ， 数 据 格式 各 式 各 样 。 为 了 适应 各 种 应 用 环境 ， 有 
5 种 工作 模式 : 电子 密码 本 (Electronic Codebook Mode，ECB)、 密 码 分 组 链接 (Cipher Block 
Chaining, CBC)、 计数器 (Counter, CTR)、 密 码 反馈 (Cipher Feedback, CFB)、 输出 反馈 (Output 
Feedback，OFB)。 它 们 被 广泛 应 用 于 SSL、Kerberos 等 多 种 安全 协议 中 ， 对 各 模式 描述 及 
其 特点 进行 的 总 结 ， 如 表 9-3 所 示 。 

4. 分 组 密码 设计 的 核心 要 素 


分 组 密码 可 以 设计 为 蔡 代 密码 或 换 位 密码 ， 但 设计 中 不 可 或 缺 的 要 素 是 蔡 代 。 


RED 
上 


工作 模式 


ECB 


表 9-3 分 组 密码 的 工作 模式 比较 


描述 与 说 明 


每 个 明文 组 独立 地 以 同一 密 钥 加 密 。 


C=E(P)S P=Dr(C) 


特 点 
优点 : 简单 有 效 ， 可 并 行 ， 误 差 不 
传递 ， 适 合 传送 短 数据 。 
缺点 : 不 能 隐藏 明文 的 模式 信息 
对 明文 的 主动 攻击 敏感 


CBC 


CTR 


CFB 


OFB 


例 5: 假设 有 一 个 N= 64 的 分 组 密码 ， 如 果 密 文中 有 10 个 1， 针 对 下 述 两 种 情况 ， 攻 
击 者 要 做 多 少 次 测试 ， 才 能 把 每 次 拦截 的 密 文 恢复 成 明文 ? 


加 密 算法 的 输入 是 当前 明文 组 与 前 一 密 文 组 的 异 或 。 
C=E(CAOP) OP=E(C)OC, 


计数 器 值 经 加 密 函 数 变 换 的 结果 ， 再 与 明文 分 组 异 
或 ， 得 到 密 文 。 解密 时 ,使 用 相同 的 计数 器 值 序列 ， 
用 加 密 函 数 变 换 后 的 计数 器 值 与 密 文 分 组 异 或 ， 从 
而 恢复 明文 。 
C=P@E(CIR+) 2 P=C,@®E(CIR+I) 


每 次 只 处 理 输入 的 7 比特， 将 上 一 次 的 密 文 用 作 加 
密 算法 的 输入 ， 以 产生 伪 随 机 输出 ， 该 输出 再 与 当 
前 明文 异 或 ,以 产生 当前 明文 。s 为 移 位 寄存 器 ，7 
为 流 单元 的 宽度 。 

加 密 : CG,=B@(E.(S) 的 高 位 ).S,, =(S, << 站 IG 

解密 : 已 =C@( 玉 (3) 的 高 位 ).S.,=(S << 站 |G 

与 CFB 类 似 ， 不 同 之 处 是 ， 本 次 加 密 算 法 的 输入 为 
前 一 次 加 密 算 法 的 输出 。s 为 移 位 寄存 器 ，7 为 流 单 
元 宽度 。 

加 密 : C =Be@(Ee(S) 的 高 /位 ).S. = 

(3 << 放 |(E(S) 的 高 位 ) 

解密 :P=C@(E(5,) 的 高 位 ).5., = 

(3 << 记 1(B(S, 的 高 /位 ) 


(1) 密码 只 设计 为 换 位 密码 。 
(2) 密码 只 设计 为 蔡 代 密码 。 


分 析 : 对 于 问题 (1)， 因 为 换 位 不 能 改变 密 文 中 1( 或 0) 的 个 数 ， 攻 击 者 可 以 准确 地 知道 
明文 中 有 10 个 1， 他 可 以 利用 准确 含有 10 个 1 的 64 位 分 组 ， 发 动 穷 举 攻击 。 在 2% 个 含 
有 10 个 1 的 64 比特 的 字 中 ， 仅 有 64V[(100(540] = 151473214816 个 符合 要 求 ， 如 果 攻 击 


优点 : 隐藏 明文 的 模式 信息 ， 对 明 
文 的 主动 攻击 困难 ， 安 全 性 好 于 
ECB， 适 于 传送 数据 分 组 和 认证 。 
缺点 : 无 已 知 并 行 算 法 ， 误 差 传递 
优点 : 处 理 效率 高 (并 行 处 理 )， 支 
持 预 处 理 ， 并 能 极 大 地 提高 吞吐 
量 ; 可 以 随机 地 对 任意 一 个 密 文 分 
组 进行 解密 处 理 ， 对 该 密 文 分 组 的 
处 理 与 其 他 密 文 无 关 ; 实现 的 简单 
性 ; 适 于 对 实时 性 和 速度 要 求 较 高 
的 场合 


优点 : 隐藏 明文 的 模式 信息 ， 适 用 
于 传送 数据 流 和 认证 。 

缺点 : 无 已 知 并 行 算法 , 误差 传递， 
需要 共同 的 移 位 寄存 器 初始 值 IV， 
且 对 于 不 同 的 消息 IV 必须 唯一 


优点 : 隐藏 明文 的 模式 信息 ， 误 差 
不 传递 ,适用 于 传送 有 扰 信 道上 (无 
线 通信 ) 的 数据 流 。 

缺点 : 无 已 知 并 行 算 法 ， 需 要 共同 
的 移 位 寄存 器 初始 值 IV, 对 明文 的 
主动 攻击 敏感 ， 安 全 性 较 CFB 差 


算 | 者 可 以 每 秒 测试 10 亿 个 分 组 ， 则 可 以 在 约 151.5 秒 内 测试 完全 部 可 能 的 情况 。 

册 针对 问题 (2)， 由 于 采用 蔡 代 模式 ， 攻 击 者 不 知道 明文 中 有 多 少 个 1( 或 0)， 他 必须 测试 
络 | 所 有 可 能 的 2“ 个 64 比特 的 分 组 ， 找 出 其 中 一 个 合理 的 。 如果 攻击 者 也 是 每 秒 可 以 测试 10 
安 | 亿 个 分 组 ， 则 对 比 完全 部 分 组 ， 需 要 2%/[(10000000000)(3600)(24)(365)]= 584 年 ， 因 此 ， 取 
加 得 成 功 之 前 ， 也 要 平均 花费 数 百年 的 时 间 。 对 比 问题 (1) 与 问题 (2)， 不 难 发 现 ， 在 分 组 密码 
侧 | 设计 中 ， 真 正 不 可 或 缺 的 要 素 的 确 是 替代 。 


9.4.4 DES 算法 


1. DES 算法 概述 


DES(Data Encryption Standard) 于 1977 年 得 到 美国 政府 的 正式 许可 ， 它 是 一 个 对 称 算 
法 ， 其 加 密 和 解密 用 的 是 同一 算法 ( 除 密 钥 编排 不 同 以 外 )， 既 可 以 用 于 加 密 ， 又 可 以 用 于 
解密 。 它 的 核心 技术 是 : 在 相信 复杂 函数 可 以 通过 简单 函数 迭代 若干 圈 得 到 的 原则 下 ， 利 
用 下 函数 及 置换 等 运算 ， 充 分 利用 非 线性 运算 。DES 以 64 位 为 分 组 ， 对 数据 加 密 。 每 组 
64 位 ， 最 后 一 组 若 不 足 64 位 ， 以 0 补 齐 。 密 钥 通常 表示 为 64 位 的 数 ， 但 每 个 第 8 位 都 用 
作 奇 偶 校 验 ， 可 以 忽略 ， 所 以 密 钥 的 长 度 为 56 位 ， 密 钥 可 以 是 任意 的 56 位 的 数 ， 且 可 以 
在 任意 的 时 候 改变 。 其 中 极 少量 的 数 被 认为 是 弱 密 钥 ， 但 能 容易 地 避 开 它们 ， 所 有 的 保密 
性 都 依赖 于 密 钥 。 

2. DES 算法 的 加 密 分 析 


(1) DES 算法 的 基本 思想 

DES 对 64 位 的 明文 分 组 进行 操作 。 通 过 一 个 初始 置换 IP ， 将 明文 分 组 分 成 左 半 部 分 
( 工 ) 和 右 半 部 分 (RR)， 各 32 位 长 。R, 与 子 密 钥 KK 进行 下 函数 的 运算 ， 输 出 32 位 的 数 ， 然 
后 与 到 执行 异 或 操作 ， 得 到 RR ， 工 则 是 上 一 轮 的 RR， 如 此 ， 经 过 16 轮 后 ， 左 、 右 半 部 分 
合 在 一 起 ， 经 过 一 个 末 置 换 (初始 置换 IP 的 北 置 换 JP ) 输 出 结果 ， 即 为 64 位 的 密 文 数据 。 

DES 算法 的 整体 流程 如 图 9-11 所 示 ， 带 有 密 钥 变换 的 DES 一 轮 迭 代 如 图 9-12 所 示 。 


Ln RB 密 钥 


a 密 钥 


站 
输出 人 比特 定 文 数 据 


9-11 DES 算法 的 整体 流程 9-12 ” 带 有 密 钥 变换 的 DES 一 轮 迭 代 


NE 


(2) 初始 置换 玩 

初始 置换 是 在 第 一 轮 运算 前 执行 ， 对 输入 分 组 实施 如 表 9-4 所 示 的 变换 (此 表 应 从 左 至 
右 、 从 上 向 下 读 )。 例如， 初始 位 置 把 明文 的 第 58 位 换 到 第 1 位 的 位 置 ， 把 第 50 位 换 到 第 
2 位 的 位 置 ， 把 第 42 位 换 到 第 3 位 的 位 置 ……。 初 始 置 换 和 对 应 的 末 置 换 并 不 影响 DES 
的 安全 性 。 它 的 主要 目的 是 为 更 容易 地 将 明文 与 密 文 数据 以 字 节 大 小 放 入 DES 芯片 中 。 


表 9-4 初始 置换 /P 


58 50 42 2 
60 52 44 4 
62 54 46 6 
64 56 48 8 
$7 49 41 1 
59 51 43 3 
61 3 45 和 
63 与 47 7 


(3) 轮 密 钥 的 生成 
如 图 9-13 所 示 ， 用 来 作为 算法 输入 的 56 位 密 钥 首 先 经 过 一 个 置换 (图 中 显示 为 置换 选 
择 1)。 经 置换 选择 1 变换 后 ， 输 出 的 56 位 密 钥 被 分 成 两 个 28 位 的 C 和 疡 。 


代位 密 钥 字符 串 天 


置换 选择 1 
G (28 位 ) 已 428 位) 
+ 


循环 左 移 循环 左 移 
PE 
G (28 位 ) 已 (28 位 ) 


置换 选择 > 总 
1 1 (56 位 ) E> 
和 
| 筷 f 在 移 [入 f 寿 移 
， 1 
C (28 位 ) | DD, (28 位 》 


图 9-13 ”DES 轮 密 钥 的 生成 
每 个 循环 中 ，C_, 和 万 ,分别 经 过 一 个 由 表 9-5 确定 的 1 位 或 2 位 的 循环 左 移 ， 这 些 经 
过 移 位 的 值 再 作为 下 一 循环 的 输入 ， 最 后 ， 它 们 同时 作为 置换 选择 2 的 输入 ， 置 换 选 择 2 
属于 压缩 性 己 盒 ， 它 将 56 位 输入 压缩 成 48 位 输出 ， 作 为 轮 密 钥 输入 函数 下 。 


LE 


«je 


PF 


人 表 9-5 ”循环 左 移 的 位 数 

由 人 sanalalalalala 
| ww [i 
二 (4) 16 轮 迭 代 过 程 

人 


DES 算法 有 16 轮 和 迭代 ， 迭 代 过 程 如 图 9-14 所 示 。 


9-14 ”和 迭代 过 程 


从 图 中 可 以 得 到 : 


L=R,R=L,®@F(R,,K),i=1,2,3,.…,15,16 

下 函数 的 实现 原理 是 将 RR,, 进行 扩展 置换 后 ， 其 结果 与 K, 进行 异 或 (@ 按 位 模 2 加 )， 
并 把 输出 内 容 执 行 S 盒 蔡 代 和 P 盒 转换 后 ， 得 到 F(R,,,K,) 。 

扩展 置换 也 叫 作 E 盒 (如 表 9-6 所 示 )， 它 将 数据 右 半 部 分 从 32 位 扩展 到 48 位 ， 改 变 了 位 
的 次 序 ， 重 复 了 某 些 位 ， 比 原 输入 多 了 16 位 ， 数 据 位 仍 取决 于 原 输入 


表 9-6 扩展 置换 表 


扩展 置换 的 48 位 输出 按 顺序 分 成 8 组 ,每 组 6 位 ， 分 别 输入 8 个 5 盒 (如 表 9-7 所 示 ), 每 
个 盒子 输出 4 位 , 共 32 位 。 假设 将 5 盒 的 6 位 输入 标记 为 B、b,、hb、b、b;、bs， 则 b 和 b 组 
合 ， 构 成 了 一 个 2 位 的 数 ， 从 0 到 3， 它 对 应 着 5 表 中 的 每 一 行 。 从 b,~b, 构 成 了 一 个 4 位 的 
数 ， 从 0 到 15 对 应 着 表 中 的 一 列 ， 行 列 交 汇 处 的 数据 就 是 该 S 盒 的 和 输出。 这 是 该 算法 的 关键 
步骤 ， 所 有 其 他 的 运算 都 是 线性 的 ， 易 于 分 析 ， 而 5 盒 是 非 线 性 的 ， 它 比 DES 其 他 任何 一 步 
都 提供 了 更 好 的 安全 性 。 

例 6: 对 s 盒 的 输入 是 100011， 则 输出 是 什么 ? 

分 析 : 把 第 1 位 与 第 6 位 合并 ， 得 到 二 进 制 数 11， 转 化 成 十 进 制 数 3; 其 余 二 进 制 比 
特 表示 的 是 0001， 转 换 为 十 进 制 数 是 1。 然 后 在 8 盒 中 查找 第 3 行 第 1 列 的 数 ， 对 应 的 十 
进 制 数 是 12， 转 化 为 二 进 制 数 为 1100。 因 此 ， 输 入 100011 对 应 的 输出 应 该 是 1100。 

忆 盒 置换 (如 表 9-8 所 示 ) 是 把 每 个 输入 位 映射 到 输出 位 , 任意 一 位 不 能 被 映射 两 次 , 也 
不 能 被 略 去 。 
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小 (5) 末 置 换 (初始 置换 取 的 逆 置 换 IP"') 

机 末 置 换 到 ” (如 表 9-9 所 示 ) 是 初始 置换 的 逆 运 算 , DES 在 最 后 一 轮 后 , 左 半 部 分 和 右 半 

草 | 部 分 并 未 交换 ， 而 是 将 及。 和 工 。 并 在 一 起 ， 形 成 一 个 分 组 ， 作 为 末 置 换 的 输入 。 

全 表 9.9 送 初始 置换 IP 

人 40 8 48 64 32 
39 汪 47 63 31 
38 6 46 62 30 
37 要 45 61 29 
36 4 44 60 28 
35 上 43 59 27 
34 2 42 58 26 
33 1! 41 57 25 


3. DES 算法 的 解密 分 析 

在 经 过 所 有 的 代替 、 置 换 、 异 或 盒 循环 之 后 ， 可 能 很 多 人 会 认为 解密 算法 与 加 密 算法 
完全 不 同 。 

但 是 ， 恰 恰 相 反 ， 经 过 精心 选择 的 各 种 操作 ， 获 得 了 一 个 非常 有 用 的 性 质 : 加 密 和 解 
密使 用 相同 的 算法 。DES 加 密 和 解密 唯一 的 不 同 ， 是 密 钥 的 次 序 相 反 。 加 密 过 程 和 解密 过 
程 可 归结 如 下 。 

(1) 加 密 过 程 : 

一 LR < IP(64bit 明 文 ) 

-LoeR) REL Df(R,k) i=1,2,.…,16 

一 (64bit 密 文 ) < IP” (ReD6) 

(2) 解密 过 程 : 

DES 的 加 密 运 算是 可 逆 的 ， 其 解密 过 程 也 可 类 似 地 进行 。 

一 ReLs <- IP(64bit 密 文 ) 

-RL LRe@fL 

一 (64bit 明 文 ) < ZIP (RL) 


4. DES 算法 的 安全 性 分 析 


几 种 攻击 的 计算 代价 : 强力 攻击 ，255 次 尝试 ， 差 分 密码 分 析 法 ，22 次 尝试 ， 线性 密 
码 分 析 法 ，22 次 尝试 。 此 外 ， 一 些 特殊 的 密 钥 还 将 大 幅度 降低 对 DES 攻击 的 计算 开销 。 

对 DES 脆弱 性 的 争论 主要 表现 在 以 下 3 个 方面 。 

(1) DES 的 半 公 开 性 。S 盒 的 设计 原理 至 今 未 公布 ， 可 能 存在 后 门 。 

(2) 密 钥 太 短 。DES 的 安全 性 完全 依赖 于 所 用 的 密 钥 , 56 位 不 太 可 能 提供 足够 的 安全 。 
IBM 原来 的 Lucifer 算法 的 密 钥 长 度 是 128 位 ， 而 提交 作为 标准 的 系统 却 只 有 56 位 ， 很 多 
人 担心 这 个 密 钥 长 度 不 够 不 足以 抵御 穷 举 搜索 攻击 ， 不 太 可 能 提供 足够 的 安全 性 。1998 年 
前 只 有 DES 破译 机 的 理论 设计 ，1998 年 后 ， 出 现 了 实用 化 的 DES 破译 机 。 此 外 ，DES 还 
存在 弱 密 钥 问题 :DES 算法 在 每 次 迭代 时 ,都 有 一 个 子 密 钥 供 加 密 用 。 如 果 给 定 初 始 密 钥 k， 


k) i=16,15,.…,1 


>i 


E142 二 
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各 轮 的 子 密 钥 都 相同 ， 即 有 石 = 态 =…=。， 就 称 给 定 密 钥 为 弱 密 钥 (Weak Key)。 

(3) 软件 实现 太 慢 。1993 年 前 只 有 硬件 实现 得 到 授权 ，1993 年 后 软件 、 固 件 和 硬件 受 
到 同等 对 待 。 

5. 3DES 


随 着 计算 机 能 力 的 提高 ， 只 有 56 位 密 钥 长 度 的 DES 算法 不 再 被 认为 是 安全 的 。1997 
年 ，RSA 数据 安全 公司 发 起 了 一 项 “DES 挑战 赛 ” 的 活动 ， 志 愿 者 4 次 分 别 用 4 个 月 、41 
天 、56 小 时 和 22 小 时 破解 了 其 用 56 位 密 钥 DES 算法 加 密 的 密 文 。 因 此 ，DES 需要 替代 
者 ， 其 中 一 个 可 行 的 方案 就 是 使 用 三 重 DES， 即 3DES 。 

3DES 的 使 用 有 4 种 模式 ， 如 图 9-15 所 示 。 


Kk 天 : 天 : 
| | | 
P 一 -| mee 上 4 mese |3» mse |—*c 
(1) DES-EEE3 模式 
K, 潜 


4 
Pp——*| me |4» WED 上 全 于 er PC 
(2) DES-EDE3 模式 
K 下 Kk 
vv 
P 一 一 ”| 加密 4 加 EE BY NEE PC 
(3) DES-EEE2 模式 
K, 天 : 天 
LE 8 1 
P 一 中 ee 4 HED | mee | 一 >c 
(4) DES-EDE2 模式 


9-15 3DES 的 使 用 模式 


(1) DES-EEE3 模式 ， 在 该 模式 中 ， 共 使 用 3 个 不 同 的 密 钥 ， 并 顺序 地 使 用 3 次 DES 
加 密 算法 。 

(2) DES-EDE3 模式 , 在 该 模式 中 ， 共 使 用 3 个 不 同 的 密 钥 , 依次 使 用 加 密 -解密 -加 密 
算法 。 

(3) DES-EEE2 模式 ， 顺 序 地 使 用 3 次 DES 加 密 算法 ， 其 中 第 一 次 和 第 三 次 使 用 的 密 
钥 相 同 ， 即 天 = KK, 。 

(4) DES-EDE2 模式 , 依次 使 用 加 密 -解密 -加 密 算 法 , 其 中 第 一 次 和 第 三 次 使 用 的 密 钥 
相同 ， 即 天 = KK。 

前 两 种 模式 使 用 3 个 不 同 的 密 钥 ， 每 个 密 钥 长 度 为 56 位 ， 因 此 ，3DES 总 的 密 钥 长 度 
达到 168 位 。 后 两 种 模式 使 用 两 个 不 同 的 密 钥 ， 总 的 密 钥 长 度 达到 112 位 。 

3DES 的 优点 : Q@ 密 钥 长 度 增 加 到 112 位 或 168 位 时 ， 可 以 有 效 克 服 DES 面临 的 穷 举 
搜索 攻击 ; @ 相 对 于 DES, 增强 了 抗 差 分 分 析 和 线性 分 析 的 能 力 ; @ 具 备 继续 使 用 现 有 DES 
实现 的 可 能 。 

3DES 的 缺点 ，@ 处 理 速度 相对 较 慢 ， 特 别 是 对 于 软件 实现 。 一 方面 ，DES 最 初 是 为 
硬件 实现 所 设计 的 ， 难 以 用 软件 有 效 地 实现 该 算法 ， 另 一 方面 ，3DES 中 轮 的 数量 3 倍 于 


A 


算 | DES 中 轮 的 数量 ， 密 钥 长 度 也 增加 了 。@3DES 中 ， 明 文 分 组 的 长 度 仍 为 64 位 ， 就 效率 和 
机 | 安全 性 而 言 ， 与 密 钥 的 增长 不 匹配 ， 分 组 长 度 应 更 长 。 


网 
党 9.4.5 AES 算法 
全 
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高 级 加 密 标准 (Advanced Encryption Standard, AES) 作 为 传统 对 称 加 密 算法 标准 DES 的 
而 | 替代 者 ， 由 美国 国家 标准 与 技术 研究 所 (NIST) 于 1997 年 面向 全 球 提出 征集 该 算法 的 公告 ， 
要 求 分 组 大 小 为 128 位 ， 人 允许 3 个 不 同 的 密 钥 大 小 ， 即 128 位 、192 位 或 256 位 ， 算 法 必 
须 是 可 公开 的 。1999 年 3 月 22 日 ，NIST 从 15 个 候选 算法 中 公布 了 5 个 候选 算法 进入 第 
二 轮 选择 : MARS、RC6、Rijndael、SERPENT 和 Twofish。2000 年 10 月 2 日 ,以 安全 性 ( 稳 
定 的 数学 基础 、 没 有 算法 弱点 、 算 法 抗 密码 分 析 的 强度 、 算 法 输出 的 随机 性 )、 性 能 (必须 
能 在 多 种 平台 上 以 较 快 的 速度 实现 )、 大 小 (不 能 占用 大 量 的 存储 空间 和 内 存 )、 实 现 特性 ( 灵 
活性 、 硬 件 和 软件 适应 性 、 算 法 的 简单 性 等 ) 为 标准 而 最 终 选 定 了 两 个 比利时 研究 者 Vincent 
Rijmen 和 Joan Daemen 发 明 的 Rijndael 算 法 ,并 于 2001 年 12 月 正式 发 布 了 AES 标准 (FIPS197)。 


1. AES 算法 概述 


Rijndael 算法 是 一 种 非 Feistel 结构 ?的 对 策 分 组 密码 体制 ， 采 用 代 蔡 /置换 网 络 ， 每 轮 由 
3 层 组 成 : 线性 混合 层 确 保 多 轮 之 上 的 高 度 扩散 ， 非 线性 层 由 16 个 8 盒 并 置 ， 起 到 混淆 的 
作用 ,， 密 钥 加 密 层 将 子 密 钥 异 或 到 中 间 状 态 。Rijndael 是 一 个 迭代 分 组 密码 ， 其 分 组 长 度 和 
密 钥 长 度 都 是 可 变 的 ， 只 是 为 了 满足 AES 的 要 求 ， 才 限定 处 理 的 分 组 大 小 为 128 位 ， 而 密 
钥 长 度 为 128 位 、192 位 或 256 位 ， 相 应 的 迭代 轮 数 为 10 轮 、12 轮 或 14 轮 。Rijndael 汇聚 
了 安全 性 能 、 效 率 、 可 实现 性 和 灵活 性 等 优点 ， 最 大 的 优点 是 可 以 给 出 算法 最 佳 差 分 特征 
的 概率 , 并 分 析 算 法 抵抗 差分 密码 分 析 及 线性 密码 分 析 的 能 力 。 Rijndael 对 内 存 的 需求 非常 
低 ， 也 使 它 很 适合 于 资源 受 限制 的 环境 。Rijndael 操作 简单 ， 并 可 抵制 强大 和 实时 的 攻击 。 

2. AES 算法 的 原理 分 析 


AES 加 密 数 据 块 大 小 最 大 是 256 位 ， 但 是 密 钥 大 小 在 理论 上 没有 上 限 。AES 加 密 有 多 
轮 的 重复 和 变换 。 大 致 步骤 为 ， 密 钥 扩展 (Key Expansion); 初始 轮 (Initial Round); 重复 轮 
(Rounds)， 每 一 轮 又 包括 字 节 替代 (SubBytes)、 行 移 位 (ShiftfRows)、 列 混淆 (MixColumns) 及 
轮 密 钥 加 (AddRoundKey); 最 终 轮 (Final Round)。 最 终 轮 没有 列 混淆 。 

AES 是 分 组 密码 ， 算 法 输入 128 位 数据 ， 密 钥 长 度 也 是 128 位 。 用 入, 表示 对 一 个 数 
据 分 组 加 密 的 轮 数 .每 一 轮 都 需要 一 个 与 输入 分 组 具有 相同 长 度 的 扩展 密 钥 Expandedkey(i) 
的 参与 。 由 于 外 部 输入 的 加 密 密 钥 天 长 度 有 限 , 所 以 在 算法 中 , 要 用 一 个 密 钥 扩 展 程 序 (Key 
Expansion) 把 外 部 密 钥 天 扩展 成 更 长 的 比特 串 ， 以 生成 各 轮 的 加 密 和 解密 密 钥 。 

下 面 以 128 位 密 钥 为 例 ， 介 绍 算法 的 基本 原理 。 


2 用 于 分 组 密码 中 的 一 种 对 称 结构 ， 有 兴趣 的 读者 可 自行 查阅 ， 自 己 了 解 。 
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(1) 圈 变 换 

AES 每 一 个 圈 变 换 都 由 以 下 3 层 组 成 。 非 线性 层 : 进行 字 节 替代 (SubBytes) 变 换 。 线性 
混合 层 : 进行 行 移 位 (ShiftRows) 和 列 混淆 (MixColumns) 运 算 。 密 钥 加 层 : 进行 轮 密 钥 加 
(AddRoundKey) 运 算 。 

(2) 轮 变换 

对 不 同 的 分 组 长 度 ， 其 对 应 的 轮 变化 次 数 是 不 同 的 。 

(3) 密 钥 扩展 

AES 算法 利用 外 部 输入 密 钥 天 ( 密 钥 串 的 字数 为 N, )， 通 过 密 钥 的 扩展 程序 ， 得 到 共计 
4( 入 ,,,) 字 的 扩展 密 钥 。 它 涉及 以 下 三 个 模块 。 

@ 位 置 变换 (Rotword): 把 一 个 4 字 节 的 序列 [A，B，C，D] 变 化 成 B，C，D，A]。 

@ 8 盒 变换 (Subword): 对 一 个 4 字 节 进行 8 盒 代 蔡 。 

@ 变换 Rcon: Rcon 表示 32 位 比特 字 [X，，00，00，00]。 这 里 的 XxX 是 (02)， 如 
Rcon[1]=[01000000]，Rcon[2]=[02000000]，Rcon[3]=[04000000]... 扩 展 密 钥 的 生成 ， 即 扩展 
密 钥 的 前 N, 个 字 就 是 外 部 密 钥 玉 ; 以 后 的 字 W[] 等 于 它 前 一 个 字 W[[CH]] 与 前 第 N, 个 字 
WI[[I- 入 ]] 的 “ 异 或 ”， 即 W[]=W[[I-1]] @ WI[[I- N, ]]。 但 是 车 i 为 N, 的 倍数 ， 则 W= 
WI[I- N, JSubword(Rotword(WI[[I-1]])Reon[i/ N, ]。 

由 于 AES 算法 涉及 的 代数 知识 较 多 ， 所 以 为 方便 更 多 的 读者 阅读 本 书 ， 这 里 就 不 再 展 
开 阐 述 ， 有 兴趣 的 读者 可 自行 查阅 相关 资料 ， 进 行 更 深 一 步 的 了 解 。 

3，AES 与 DES 的 比较 


正如 前 面 所 述 ，DES 算法 因 自 身 一 定 程度 的 脆弱 性 而 面临 种 种 质疑 。 相 比 之 下 ，AES 
毫 无 疑问 地 解决 了 DES 算法 中 所 出 现 的 问题 ， 主 要 表现 在 以 下 几 个 方面 。 

(1) 运算 速度 快 , 在 有 反馈 模式 、 无 反馈 模式 的 软 硬 件 中 ，Rijndael 算法 都 表现 出 非常 
好 的 性 能 。 

(2) 对 内 存 的 需求 非常 低 ， 适 合 于 受 限 环境 。 

(3) Rijndael 是 一 个 分 组 迭代 密码 ， 分 组 长 度 和 密 钥 长 度 设计 灵活 。 

(4) AES 标准 支持 可 变 分 组 长 度 ， 分 组 长 度 可 设 定 为 32 比特 的 任意 倍数 ， 最 小 值 为 
128 比特 ， 最 大 值 为 256 比特 。 

(5) AES 的 密 钥 长 度 比 DES 大 ， 它 也 可 设 定 为 32 比特 的 任意 倍数 ， 最 小 值 为 128 比 
特 , 最 大 值 为 256 比特 ， 所 以 用 穷 举 法 是 不 可 能 破解 的 。 在 可 预计 的 将 来 ， 如 果 计 算 机 的 
运行 速度 没有 根本 性 的 提高 ， 用 穷 举 法 破解 AES 密 钥 几乎 不 可 能 。 

(6) AES 算法 的 设计 策略 是 宽 轨 迹 策略 (Wide Trail Strategy，WTS)。WTS 是 针对 差分 
分 析 和 线性 分 析 提出 的 ， 可 对 抗 差分 密码 分 析 和 线性 密码 分 析 。 

综 上 所 述 ，Rijndael 算法 汇聚 了 安全 、 效 率 高 、 易 实现 和 灵活 等 优点 ， 是 一 种 较 DES 
更 好 的 算法 。 
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1.， 非 对 称 密码 体制 的 提出 


对 称 密码 体制 可 以 在 一 定 程度 上 解决 保密 通信 的 问题 ， 但 随 着 计算 机 和 网 络 技术 的 快 
速 发 展 ， 保 密 通信 的 需求 越 来 越 广泛 ， 对 称 密码 体制 的 局 限 性 就 逐渐 显现 出 来 ， 并 越 来 越 
明显 。 对 称 密码 体制 不 能 完全 适应 应 用 的 需要 ， 主 要 表现 在 以 下 3 个 方面 。 

(1) 密 钥 管理 困难 

对 称 密码 体制 中 ， 任 何 两 个 用 户 间 要 进行 保密 通信 ， 就 需要 一 个 密 钥 ， 不 同 用 户 之 间 
进行 保密 通信 时 ， 必 须 使 用 不 同 的 密 钥 。 密 钥 为 发 送 方 和 接收 方 所 共享 ， 分 别 应 用 于 消息 
的 加 密 和 解密 。 密 钥 需 要 受到 特别 的 保护 和 安全 传递 ， 才 能 保证 对 称 密码 体制 的 功能 的 正 
常 时效 。 在 一 个 及 个 用 户 的 保密 通信 和 网络 中 ， 用 户 彼 此 间 进 行 保密 通信 就 需要 
C2 =N(N 一 1)/2 个 密 钥 。 当 NN 较 小 时 ， 密 钥 数 量 不 是 很 大 ， 可 以 保证 相互 之 间 正 常 的 保密 
通信 ; 但 是 ， 当 N=500 时 ，C2, =124750， 如 果 N 更 大 呢 ? 这 无 疑 将 给 密 钥 的 安全 管理 与 
传递 带 来 很 大 的 困难 。 

(2) 陌生 人 间 的 保密 通信 问题 

电子 商务 等 网 络 应 用 提出 了 互 不 认识 的 网 络 用 户 间 进 行 秘密 通信 问题 ， 而 对 此 密码 体 
制 的 密 钥 分 发 方法 ， 要 求 密 钥 共 享 各 方 是 相互 信任 的 ， 因 此 ， 它 不 能 解决 陌生 人 间 的 密 钥 
传递 问题 ， 也 就 不 能 解决 陌生 人 间 的 保密 通信 问题 。 

(3) 数字 签名 问题 

对 称 密码 体制 无 法 实现 抗 否 认 需 求 ， 也 就 是 数字 签名 。 

基于 以 上 问题 的 出 现 ， 对 称 密码 体制 已 经 不 能 满足 正常 的 网 络 应 用 ， 一 定 程度 上 也 促 
进 了 人 们 建立 新 的 密码 体制 一 一 非 对 称 密码 体制 的 愿望 。 非 对 称 密码 体制 又 称 公 钥 密码 体 
制 ,或 双 密 钥 密码 体制 , 其 思想 是 1976 年 由 Diffie 和 Hellman 在 New directions in cryptography 
一 文中 首先 提出 来 的 。 

公 钥 密码 体制 的 发 展 是 密码 学 历史 上 的 一 次 革命 。 在 公 钥 密码 体制 出 现 前 ， 几 乎 所 有 
的 密码 编码 系统 都 建立 在 基本 的 代替 和 换 位 上 。 公 钥 密 码 体 制 的 出 现 ， 解 决 了 密 钥 安全 管 
理 与 分 发 数字 签名 的 问题 ， 更 对 保密 通信 、 密 钥 分 配 和 鉴别 等 领域 有 着 深远 的 影响 。 

2. 对 公 钥 密码 体制 的 要 求 


公 钥 密码 体制 的 加 密 过 程 是 这 样 的 : 假如 A 和 B 分 别 为 网 络 中 需要 进行 保密 通信 的 双 
方 。 如果 A 想 给 B 发 送 一 个 报 文 ,他 就 用 B 的 公开 密 钥 加 密 这 个 报 文 后 发 送 给 B; B 收 到 
这 个 报 文 后 ， 就 用 自己 的 私有 密 钥 解密 这 个 报 文 ， 其 他 所 有 收 到 这 个 报 文 的 人 都 无 法 对 它 
进行 解密 ， 因 为 只 有 B 才 有 自己 的 私 钥 。 使 用 这 种 方法 ， 所 有 参与 者 可 以 获得 各 个 公开 密 
钥 ， 而 各 参与 方 的 私有 密 钥 由 自己 本 地 产生 ， 不 需要 分 配 ， 只 要 一 个 系统 控制 住 它 的 私有 
密 钥 ， 就 可 以 保证 收 到 的 通信 内 容 是 安全 的 。 

为 了 保障 公 钥 密码 体制 的 正确 实现 ， 有 以 下 几 点 要 求 。 


NE 
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(1) 参与 方 B 容易 通过 计算 产生 一 对 密 钥 (公开 密 钥 KU 和 私有 密 钥 KRb)。 
(2) 在 知道 公开 密 钥 和 待 加 密 报 文 M 的 情况 下 ， 对 于 发 送 方 A， 很 容易 通过 计算 产生 
对 应 的 密 文 : 


C=E,, (M) 
(3) 接收 方 B 使 用 私有 密 钥 , 容易 通过 计算 , 解密 所 得 的 密 文 ， 以 便 恢 复原 来 的 报 文 : 
M = Da, (C) = Dra, (Exo, (M)) 
(4) 敌对 方 即使 知道 公开 密 钥 KU。， 要 确定 私有 密 钥 KR 在 计算 上 是 不 可 行 的 。 
(5) 敌对 方 即 使 知道 公开 密 钥 Km 和 密 文 C， 要 想 恢 复原 来 的 报 文 M， 在 计算 上 也 是 
不 可 行 的 。 
(6) 两 个 密 钥 中 的 任何 一 个 都 可 以 用 来 加 密 , 对 应 的 另 一 个 密 钥 用 来 解密 (这 一 条 不 是 
对 所 有 的 公开 密 钥 密码 体制 都 适用 ， 如 DSA 只 用 于 数字 签名 ): 
M =Dm (Exv,(M)) (机 密 性 实现 ) 
M = Dyo, (CEm (M)) (数字 签名 实现 ) 


3. 公开 密 钥 密 码 系 统 的 应 用 


公 钥 密码 体制 的 特点 ， 就 是 它 可 以 使 用 两 个 密 钥 作为 加 密 和 解密 算法 的 参数 ， 这 两 个 
密 钥 一 个 是 保密 的 ， 一 个 则 可 以 公开 。 根 据 应 用 的 需要 ， 发 送 方 可 以 使 用 自己 的 私 钥 、 接 
收 方 的 公 钥 ,或 者 两 个 都 使 用 ， 以 完成 某 种 类 型 的 密码 编码 而 后 解码 的 功能 。 

总 地 来 说 ， 可 以 将 公 钥 密码 体制 的 应 用 分 为 以 下 三 类 。 

(1) 机 密 性 的 实现 

发 送 方 用 接收 方 的 公 钥 加 密 报 文 ， 接 收 方 用 自己 对 应 的 私 钥 解 密 报 文 。 

(2) 数字 签名 的 实现 

发 送 方 用 自己 的 私 铀 “签署 ” 报 文 ， 即 用 自己 的 私 钥 加 密 ， 接 收 方 用 发 送 方 配对 的 公 
钥 来 解密 ， 以 实现 鉴别 。 

(3) 密 钥 交换 

发 送 方 和 接收 方 基于 公 钥 密码 系统 交换 会 话 密 钥 。 这 样 ， 应 用 也 称 为 混合 密码 系统 ， 
即 用 对 称 密码 体制 加 密 需要 保密 传输 的 消息 本 身 ， 然 后 用 公 钥 密码 体制 加 密 对 称 密码 体制 
中 使 用 的 会 话 密 钥 ， 将 二 者 结合 使 用 ， 充 分 利用 对 称 密码 体制 在 处 理 速度 上 的 优势 和 非 对 
称 密码 体制 在 密 钥 分 发 和 管理 方面 的 优势 。 

需要 指出 的 是 ， 并 不 是 所 有 的 公开 密 钥 算法 都 支持 以 上 3 类 应 用 。 如 RSA 和 ECC 在 
三 种 情况 下 都 可 用 ，DSA 只 用 于 数字 签名 ，Diffie-Hellman 密 钥 交换 算法 只 用 于 密 钥 交换 。 


9.5.2 Diffie-Hellman 密 钥 交 换算 法 


1976 年 ，Diffie 和 Hellman 在 New directions in cryptography 一 文中 ， 首 先 提出 了 “ 非 
对 称 密码 体制 ”的 概念 ， 并 给 出 非 对 称 密码 算法 ， 该 算法 的 目的 ， 是 使 得 两 个 用 户 安 全 地 
交换 一 个 会 话 密 钥 ， 通 常 称 为 DH 协议 ， 其 特点 为 : 发 送 方 和 接收 方 基于 公 钥 密码 体制 交 
换 密 钥 ， 会话 密 钥 采 用 对 称 密码 体制 加 密 需 要 保密 传输 的 消息 。 

Diffie-Hellman 密 钥 交 换算 法 的 有 效 性 ， 依 赖 于 计算 机 有 限 域 中 离散 对 数 的 困难 性 。 在 


i 
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算 | 了 解 Diffie-Hellman 密 钥 交换 算法 的 工作 原理 之 前 ， 需 要 先知 道 本 原 元 和 离散 对 数 的 概念 。 
出 。 1。 本 原 元 和 离散 对 数 

荣 (1) 本 原 元 : 对 于 一 个 素数 gq， 如果 数值 a modg,a? modg,…,a” modg 是 各 不 相同 的 
人 金 | 整数 , 并 且 以 某 种 排列 方式 组 成 了 从 1~g -1 的 所 有 整数 , 则 称 整数 a 是 素数 4 的 一 个 本 原 元 。 
从 (2) 离散 对 数 : 对 于 一 个 整数 b 和 素数 g 的 一 个 本 原 元 a， 可 以 找到 唯一 的 指数 i， 使 


得 b=a'modg(0<i<g 一 ]) 成立， 则 指数 i 称 为 b 的 以 a 为 基数 的 模 g 的 离散 对 数 。 

(3) 离散 对 数 的 计算 : 对 于 y=g”modg (9g 为 大 素数 )， 己 知 g、x、g ， 计 算 y 是 容易 
的 ; 已 知 g&、 入 4 ， 计 算 x 是 非常 困难 的 。 

2.， 算法 工作 原理 

(1) 用户 A 和 用 户 B 之 间 安全 交换 会 话 密 钥 ， 己 知 一 个 大 素数 g 和 一 个 整数 a ， 其 中 
整数 a 是 素数 g 的 一 个 本 原 元 。 
@ ”用 户 A 随机 选择 一 个 数 x <g， 计 算 y =a* modgq。 
@ 用 户 B 随机 选择 一 个 数 x <g， 计 算 加 =amamodd 。 
@ ”用 户 A 和 用 户 B 分 别 公开 及 、 辐 。 
@ 用 户 A 计算 =(y6)*modg， 用 户 B 计算 =(y)”modg， 上 为 共享 的 会 话 

密 钥 。 
(2) k=(ys)* modqg=(a)*® modqg=(y,)? modq=k。 
例 7: 密 钥 交换 基于 素数 4=97 和 它 的 一 个 本 原 元 a=5, A 和 B 分 别 选择 随机 数 蕊 =36 
和 Xx,=58， 每 人 计算 公开 密 钥 如 下 。 

人 A 计算 公 钥 =5*mod97=50 

B 计算 公 钥 元 =5”mod97=44 

在 他 们 交换 了 公开 密 钥 后 ， 每 人 计算 共享 的 会 话 密 钥 如 下 。 

人 A 计算 会 话 密 钥 : 天 = 马公 moddg =445mod97=75 

B 计算 会 话 密 钥 : KK =modg=50*mod97=75 

可 见 ， 他 们 所 得 到 的 会 话 密 钥 是 一 样 的 。 当 然 ， 从 {97，5，50，44} 出发， 攻击 者 要 计 
算出 75 是 不 可 行 的 。 

3， 算法 安全 性 分 析 

(1) Diffie-Hellman 密 钥 交 换算 法 的 安全 性 源 于 在 有 限 域 上 计算 离散 对 数 , 它 比 计算 指 
数 更 为 困难 。 攻 击 者 只 知道 a、q 、y。 、 苞 ， 除 非 计算 离散 对 数 ， 恢 复习 、 癌 ， 和 否则 无 济 
于 事 


(2) a 和 gq 的 选取 : (gq 一 ])/2 应 该 是 一 个 素数 ， 并 且 g 应 该 足够 大 ， 系 统 的 安全 性 取决 
于 与 4 同样 长 度 的 数 因子 分 解 的 困难 程度 ; 可 以 选择 任何 模 n 的 本 原 元 a, 通常 选择 最 小 的 
a (一般 是 一 位 数 )。 
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9.5.3 RSA 算法 


RSA 公 钥 密码 算法 是 由 美国 麻 省 理工 (MIT) 的 Rivest、Shamir 和 Adleman 在 1978 年 提 
出 来 的 。RSA 方案 是 唯一 被 广泛 接受 并 实现 的 通用 公开 密 钥 密码 算法 ， 目 前 已 成 为 公 钥 密 
码 的 国际 标准 。 该 算法 的 数字 基础 是 初等 数论 中 的 欧 拉 定理 ， 其 安全 性 建立 在 大 整数 因子 
分 解 (The Integer Factorization Problem) 的 困难 性 上 。 

1. RSA 算法 描述 

(1) 选择 两 个 大 素数 p 和 g，, 为 了 保证 安全 性 , 通常 要 求 每 个 均 大 于 10”, 即 超过 100 
位 的 十 进 制 数 。 

(2) 计算 n=pq 和 g(n)=(p 一 D(q 一 ]) ( 欧 拉 函数 )。 

(3) 随机 选择 正 整 数 e。，1<e< gp(n)， 满 足 gcd(e,g(n)) =1，e 是 公开 的 加 密 密 钥 。 

(4) 计算 aq， 满足 de=1(modg(n)) 。q 是 保密 的 解密 密 钥 。 

(5) 加 密 变 换 : 将 明文 划分 成 块 ， 使 得 每 个 明文 报 文 长 度 M <n, 计算 C=M"modn。 

(6) 解密 变换 : 对 密 文 C， 计算 M =C’ modn 。 

可 以 看 出 ， 解 密 变换 是 加 密 变换 的 逆 变换 。 

例 8: 设 p=11，qg=23， 取 e=3， 用 RSA 算法 加 密 和 解密 ， 恢 复明 文 M =165。 

解 : 

(1) 计算 : n=p:q=11x23=253; gp(0D) = (PP 一 1]D(9q -1) =220; 

由 de(mod220)=1 得 4 =147 ; 即 保密 的 解密 密 钥 q =147 ， 公 开 的 加 密 密 钥 ( 即 公 和 钥 ) 
e=3，n=253; 明文 空间 Z, = {0,12,…,252} 。 

(2) 加 密 明 文 : C=16$ mod253=110。 

(3) 解密 密 文 ，M'=110” mod253=165， 即 得 M=M'， 


2. ”RSA 算法 分 析 

(1) 密 钥 生 成 时 ， 如 果 要 求 n 很 大 ， 攻 击 者 要 将 其 成 功 地 分 解 为 pg 是 困难 的 ， 这 就 
是 著名 的 大 整数 因子 分 解困 难 性 问题 , 这 保证 了 攻击 者 不 能 得 出 g(n) =(p 一 1)(g -1) ,因此 ， 
即使 知道 公 钥 {e,n }， 也 不 能 通过 4 = emodp(n) 将 私 钥 { q,n} 推 导出 来 。 

(2) 式 C=M"modn 表 明 ，RSA 的 加 密 函 数 是 一 个 单 向 函数 ， 在 已 知 明文 M 和 公 钥 
{e,n } 的 情况 下 ， 计 算得 出 密 文 C 是 容易 的 ;但 它 的 逆 过 程 则 非常 困难 ， 攻 击 者 在 不 知道 
陷 门 信息 ( 即 私 钥 {q,n})， 而 只 知道 密 文 C 和 公 和 钥 {e,n } 的 情况 下 恢复 M 是 不 可 行 的 。 

(3) 作为 接收 方 ， 由 于 拥有 自己 的 私 钥 {q,n}， 也 就 是 知道 单 向 加 密 函数 的 陷 门 信息 ， 
就 能 很 容易 地 恢复 明文 M 。 

3. ”RSA 算法 的 安全 性 分 析 

从 数学 上 未 证 明 过 需要 分 解 n 才 能 从 C 和 e 中 计算 出 M ; 可 通过 猜测 (p-D(9-D 的 值 
来 攻击 RSA,， 但 这 种 攻击 没有 分 解 n 容易 ， 可 尝试 每 一 种 可 能 的 4 ， 直 到 获得 正确 的 一 个 ， 
这 种 穷 举 攻击 还 没有 试图 分 解 n 更 有 效 ; 129 位 十 进 制 数 的 模 数 是 能 分 解 的 临界 数 ， 实际 应 
用 中 ，n 应 该 大 于 这 个 数 。 


9.6 ” 公 钥 基础 设施 (PKI) 


公 钥 基础 设施 (Public Key Infrastructure, PKD 是 一 个 用 于 非 对 称 密码 算法 原理 和 技术 实 
现 ， 并 提供 安全 服务 的 具有 通用 性 的 安全 基础 设施 。 用 户 利 用 PKI 平台 提供 的 安全 服务 进 
行 安全 通信 。PKI 是 一 种 遵循 标准 的 密 钥 管理 平台 ， 能 为 所 有 网 络 应 用 透明 地 提供 采用 加 
密 和 数字 签名 等 密码 服务 所 需要 的 密码 和 证 书 管理 。 


9.6.1 PKI 概述 


1976 年 ， 第 一 个 正式 的 公共 密 钥 加 密 算法 诞生 ，20 世纪 80 年 代 初 期 ， 出 现 了 非 对 称 
密 钥 密码 体制 ， 即 公 钥 基础 设施 (Public Key Infrastructure，PKI)。 前 期 的 PKI 一 直 处 于 搜索 
发 展 阶段 ， 直 到 最 近 10 年 ， 国 际 上 的 PKI 应 用 才 开 始 迅速 发 展 。 


1.， 基本 概念 


所 谓 PKI， 就 是 一 个 用 公 钥 概念 和 技术 实施 和 提供 安全 服务 的 具有 普 适 性 的 安全 基础 
设施 。 PKI 是 一 种 新 的 安全 技术 , 它 是 由 公开 密 钥 密 码 技术 、 数 字 证 书 、 证 书 发 放 机 构 (CA) 
和 关于 公开 密 钥 的 安全 策略 等 基本 成 分 共同 组 成 的 。PKI 是 利用 公 钥 技术 实现 电子 商务 安 
全 的 一 种 体系 ， 是 一 种 基础 设施 ， 网 络 通信 、 网 上 交易 就 是 利用 它 来 保证 安全 的 。 从 某 种 
意义 上 讲 ，PKI 包含 了 安全 认证 系统 ， 安 全 认证 系统 是 PKI 不 可 或 缺 的 组 成 部 分 。 


2.， 基本 结构 


PKI 公 钥 基础 设施 是 提供 公 钥 加 密 和 数字 签名 服务 的 系统 或 平台 ， 目 的 是 为 了 管理 密 
钥 和 证 书 。 一 个 机 构 通过 采用 PKI 框架 管理 密 钥 和 证 书 可 以 建立 一 个 安全 的 网 络 环 境 。 一 
个 完整 的 PKI 系统 必须 具有 权威 认证 机 构 (Certificate Authority，CA)、 数 字 证 书库 、 密 钥 备 
份 及 恢复 系统 、 证 书 废止 处 理 系 统 、 应 用 接口 (APD 等 基本 构成 部 分 。 

(1) 权威 认证 机 构 (Certificate Authority，CA) 

CA 是 证 书 的 签发 机 构 ， 它 是 PKI 的 核心 ， 是 PKI 应 用 中 权威 的 、 可 信任 的 、 公 正 的 
第 三 方 机 构 。 认 证 机 构 是 一 个 实体 ， 它 有 权利 签发 并 撤消 证 书 ， 对 证 书 的 真实 性 负责 。 在 
整个 系统 中 ，CA 由 比 它 高 一 级 的 CA 来 控制 。 

CA 的 核心 功能 ， 就 是 发 放 和 管理 数字 证 书 ， 有 具体 描述 如 下 : 
接收 验证 最 终 用 户 数字 证 书 的 申请 。 
确定 是 否 接受 最 终 用 户 数字 证 书 的 申请 ， 即 证 书 的 审批 。 
向 申请 者 颁发 、 拒 绝 颁 发 数字 证 书 ， 即 证 书 的 发 放 。 
接收 、 处 理 最 终 用 户 的 数字 证 书 更 新 请 求 ， 即 证 书 的 更 新 。 
接收 最 终 用 户 数字 证 书 的 查询 、 撤 消 。 
产生 和 发 布 证 书 废止 列表 (CRI)。 
数字 证 书 的 归档 。 
密 钥 归档 。 
历史 数据 归档 。 
CA 为 了 实现 其 功能 ， 主 要 由 以 下 三 部 分 组 成 。 
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注册 服务 器 : 通过 Web Server 建立 的 站 点 ， 可 为 客户 提供 24x7 不 间断 的 服务 。 
客户 在 网 上 提出 证 书 申请 和 填写 相应 的 证 书 申请 表 。 

证 书 申请 受理 和 审核 机 构 : 负责 证 书 的 申请 和 审核 。 它 的 主要 功能 是 接受 客户 证 
书 申请 并 进行 审核 。 

认证 中 心服 务 器 : 是 数字 证 书生 成 、 发 放 的 运行 实体 ， 同 时 提供 发 放 证 书 的 管理 、 
证 书 废止 列表 (CRIL) 的 生成 和 处 理 等 服务 。 


在 具体 实施 时 ，CA 必须 做 到 以 下 几 点 


验证 并 标识 证 书 申请 者 的 身份 。 

确保 CA 用 于 签名 证 书 的 非 对 称 密 钥 的 质量 。 

确保 整个 签证 过 程 的 安全 性 ， 确 保 签 名 私 钥 的 安全 性 。 
证 书 资料 信息 (包括 公 钥 证 书 序列 号 、CA 标识 等 ) 的 管理 。 
确定 并 检查 证 书 的 有 效 期 限 。 

确保 证 书 主体 标识 的 唯一 性 ， 防 止 重 名 。 

发 布 并 维护 作废 证 书 列表 。 

对 整个 证 书签 发 过 程 做 日 志 记录 。 

向 申请 人 发 出 通知 。 


在 这 其 中 ， 最 重要 的 是 CA 自己 的 一 对 密 钥 的 管理 ， 它 必须 确保 其 高 度 的 机 密 性 ， 防 
止 他 方 伪造 证 书 。CA 的 公 钥 在 网 上 公开 ， 因 此 ， 整 个 网 络 系统 必须 保证 完整 性 。CA 的 数 
字 签 名 保证 了 证 书 (实质 是 持 有 者 的 公 钥 ) 的 合法 性 和 权威 性 。 

(2) 证 书库 

证 书库 是 证 书 的 集中 存放 地 ， 它 与 网 上 的 “ 白 页 ”类 似 ， 是 网 上 的 一 种 公共 信息 库 ， 
用 户 可 以 从 此 处 获得 其 他 用 户 的 证 书 和 公 钥 。 

构造 证 书库 的 最 佳 方法 ， 是 采用 支持 LDAP( 轻 型 目录 访问 协议 ) 的 目录 系统 , 用 户 或 相 
关 的 应 用 可 以 通过 LDAP 访问 证 书库 。 系 统 必须 确保 证 书 的 完整 性 ， 防 止 伪造 、 算 改 证 书 。 

(3) 密 钥 备 份 及 恢复 系统 

如 果 用 户 丢 失 了 解密 数据 的 密 钥 ， 则 密 文 数据 将 无 法 被 解密 ， 造 成 数据 的 丢失 。 为 了 
避免 这 种 情况 的 出 现 ，PKI 应 该 提供 备份 与 恢复 解密 密 钥 的 机 制 。 

密 钥 的 备份 和 恢复 应 该 由 可 信 的 机 构 来 完成 , 例如 ，CA 可 以 充当 这 一 个 角色 。 值得 强 
调 的 是 ， 密 钥 备份 与 恢复 只 能 针对 解密 密 钥 ， 签 名 私 钥 不 能 作为 备份 。 

(4) 证 书 废止 处 理 系统 

证 书 废 止 处 理 系统 是 PKI 的 一 个 重要 组 件 。 同日 常生 活 中 的 各 种 证 件 一 样 , 证 书 在 CA 
为 其 签署 的 有 效 期 内 也 可 能 需要 作废 处 理 。 为 了 实现 这 一 目的 ，PKI 必须 提供 作废 证 书 的 
一 系列 机 制 。 作 废 证 书 通常 有 以 下 的 策略 : 


作废 一 个 或 多 个 主体 的 证 书 。 
作废 由 某 一 对 密 钥 签发 的 所 有 证 书 。 
作废 由 某 CA 签发 的 所 有 证 书 。 


作废 证 书 一 般 通 过 将 证 书 列 入 废止 书 表 (CRI) 来 完成 。 通常， 系统 中 由 CA 负责 创建 并 
维护 一 张 及 时 更 新 的 CRL 表 ， 而 由 用 户 在 验证 证 书 时 负责 检查 该 证 书 是 否 在 CRL 之 列 ， 
一 般 是 存放 在 目录 系统 中 。 


算 (5) PKI 应 用 接口 系统 
机 PKI 的 价值 在 于 使 用 户 能 够 方便 地 使 用 加 密 、 数 字 签名 等 安全 服务 。 因 此 ， 一 个 完 
的 PKI 必须 提供 良好 的 应 用 接口 系统 ， 使 得 各 种 各 样 的 应 用 能 够 以 安全 、 一 致 、 可 信 的 方 
式 与 PKI 交 互 ， 确 保 所 建立 起 来 的 网 络 环境 的 可 信 性 ， 同 时 降低 管理 维护 成 本 。 
入 9.6.2 ”数字 证 书 

公 钥 基础 设施 (Public Key Infrastructure，PKD) 技 术 提供 了 网 络 环境 下 的 一 个 安全 平台 ， 
是 一 种 具有 普 适 性 的 基础 设施 。PKI 与 非 对 称 加 密 算法 密切 相关 ， 同 时 包括 消息 摘要 、 数 
字 签 名 、 加 解密 技术 等 ， 要 支持 这 些 技术 ， 就 要 用 到 数字 证 书 技术 。 

数字 证 书 就 像 身份 证 、 护 照 等 ， 是 个 人 身份 识别 的 凭证 ， 形 象 一 些 来 描述 ， 它 是 网 络 
上 的 护照 。 数 字 证 书 技术 涉及 证 书签 发 机 构 (CA)、 注 册 机 构 (RA) 和 终端 用 户 。 

数字 证 书 技术 是 可 以 用 来 证 明 身 份 的 一 种 技术 。 证 书 就 是 计算 机 里 的 一 个 小 小 的 文件 ， 
类 似 身 份 证 上 的 信息 ， 把 证 件 所 有 者 的 个 人 信息 (如 姓名 、 性 别 、 出 生日 期 、 照 片 等 ) 与 证 
件 号 码 捆绑 起 来 。 同 理 ， 数 字 证 书证 明 所 有 者 与 公开 密 钥 的 关系 ， 也 就 是 把 证 书 申 请 者 与 
生成 的 公 钥 绑 定 在 一 起 了 。 

1. 数字 证 书 的 定义 


数字 证 书 ， 就 是 互联 网 通信 中 标志 通信 各 方 身份 信息 的 数据 ， 提 供 了 一 种 在 Internet 
上 验证 身份 的 方式 ， 它 有 一 个 权威 机 构 : CA 机 构 ， 又 称 为 证 书 授权 中 心 。 数 字 证 书 是 一 个 
经 CA 数字 签名 的 包含 密 钥 拥有 者 信息 以 及 公开 密 钥 的 文件 。 最 简单 的 证 书包 含 一 个 公开 
密 钥 、 名 称 以 及 证 书 授权 中 心 的 数字 签名 。 

2.， 数字 证 书 的 格式 


目前 ， 由 国际 电信 联盟 GTU) 制 定 的 X.509 规范 规定 了 通用 的 证 书 格式 。 采 用 同样 标准 
制定 和 生成 证 书 ， 有 助 于 在 不 同 的 标准 和 架构 之 间 相 互 传递 和 使 用 证 书 。X.509 规范 目前 
最 新 的 版 本 是 3.0;。 图 9-16 展示 了 一 个 证 书 必 备 的 一 些 字段 。 
请 | : 
EE | 
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图 9-16 数字 证 书 的 结构 


3 说 明 : 本 章 中 所 出 现 的 义 .509 数字 证 书 的 版 本 号 均 为 3.0。 
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X.509 数字 证 书 必 备 的 一 些 字 段 一 般 包 括 以 下 内 容 。 
@ ”版 本 号 (Version): 用 于 表示 该 证 书 遵循 X.509 证 书 的 哪个 版 本 规范 。 
主体 (SubjecDb: 规定 了 证 书 的 拥有 者 。 
公 钥 (Public Key): 包含 了 与 证 书 绑 定 在 一 起 的 公 铀 ， 同 时 表明 生成 公 钥 的 算法 。 
证 书 发 布 者 (ssueD: 标识 生成 证 书 的 CA。 
序列 号 (Serial Number): 一 个 唯一 值 ， 在 一 个 特定 的 CA 中 是 唯一 的 ， 用 于 CA 标 
识 证 书 。 
@ 。 有效期 (Validity): 规定 证 书 的 有 效 时 间 ， 通 常 有 效 期 由 起 止 日 期 确定 。 
@ 签名 算法 (Signature Algorithm): 标识 数字 证 书 使 用 的 散 列 算法 。 
@ 扩展 (Extension): 允许 CA 将 其 他 信息 加 入 该 域 ， 以 扩展 证 书 的 功能 。 
此 外 ，X.509 数字 证 书 还 包含 以 下 几 个 可 选 字段 。 
@ 发布 者 的 唯一 辨识 符 : 确定 证 书 发 布 者 的 X.500 辨识 名 的 比特 串 ， 是 可 选 字段 。 
@ 证 书 主体 的 唯一 辨识 符 : 确定 证 书 主体 的 X.500 辨识 号 的 比特 串 ， 是 可 选 字 段 。 
但 是 ， 由 于 版 本 2.0 在 应 用 中 存在 的 一 些 缺 陷 ， 在 一 定 程度 上 无 法 满足 设计 和 实施 的 
需要 。 因 此 ， 标 准 的 开发 人 员 为 3.0 版 本 定义 了 一 些 可 选 的 扩展 字段 ， 重 要 的 一 些 扩展 字 
段 的 内 容 如 下 。 
@ Certificate Policies and Policy Mapping: 证 书 策略 和 证 书 映射 。 
Subject Alternative Name and Issue Alternative Name: 主体 备 选 名 和 发 布 者 备 选 名 。 
Subject Directory Attributes: 主体 目录 属性 。 
Basic Constraints and Name Constraints: 基本 约束 和 名 字 约 束 ， 只 出 现在 CA 中 。 
Authority Key Identifier: 授权 密 钥 标识 符 。 
Key Usage: 密 钥 用 途 。 
验证 证 书 的 步骤 主要 包括 以 下 几 点 : 
@ 查看 证 书 的 数字 签名 ， 并 获取 CA 信息 ， 查 阅 该 CA 信息 是 否 已 被 信任 。 
@ ”计算 证 书 的 摘要 。 
@ ”使 用 CA 的 公 钥 解密 数字 签名 ， 对 嵌入 证 书 的 原作 者 数字 签名 进行 恢复 并 验证 ( 数 
字 签 名 以 散 列 值 形式 嵌入 )。 
@ 比较 计算 所 得 的 摘要 和 恢复 所 得 的 摘要 ， 以 保证 证 书 的 完整 性 。 
e@ ”检查 证 书 的 身份 相关 信息 。 
. 
. 


检查 有 效 期 。 
向 CA 查询 证 书 是 否 已 被 撤消 (使 用 证 书 撤消 列表 Certificate Revocation List)。 


3. 数字 证 书 的 生命 周期 


数字 证 书 的 生命 周期 ， 也 即 数字 证 书 的 有 效 期 ， 与 证 书 的 起 止 日 期 有 关 ， 既 然 如 此 ， 
我 们 就 有 必要 了 解 一 下 数字 证 书 的 申请 过 程 。 

相信 很 多 人 对 护照 的 申请 有 一 定 了 解 ， 申 请 一 个 数字 证 书 需要 的 过 程 与 护照 的 申请 就 
极为 类 似 。 用 户 与 证 书 机 构 (Certificate Authority，CA) 的 交互 是 从 注册 机 构 (Registration 
Authority，RA) 提 供 的 用 户 交 互 界面 开始 的 。 
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从 证 书 的 注册 开始 ， 需 要 创建 公 / 私 密 钥 对 ， 并 将 它们 关联 到 用 于 确认 某 个 最 终 实体 身 
册 份 的 证 书 上 。 作 为 向 CA 注册 和 申请 证 书 的 过 程 的 一 部 分 ， 该 密 钥 对 连同 其 他 一 些 身份 标 
络 | 识 信 息 一 起 被 提交 给 CA。CA 在 核 审 申请 者 身份 后 ， 确 认 无 误 ， 方 可 颁发 证 书 。 
颁发 的 证 书生 命 周 期 是 有 限 的 。 如 果 到 了 截止 日 期 ， 该 证 书 就 失效 了 ， 必 须 重 新 颁发 
基 


:| 一 个 证 书 。 密 钥 有 一 个 平均 的 使 用 寿命 ， 在 安全 有 效 期 内 ， 证 书 和 密 钥 都 必须 定期 更 新 。 
而 在 某 些 情况 下 ， 发 布 最 终 实体 证 书 的 CA 可 能 需要 报废 该 证 书 。 在 这 种 情况 下 ， 该 证 
书 应 该 被 撤消 ， 而 该 CA 则 需要 公布 这 一 撤消 信息 。 

在 数字 证 书 的 生命 周期 内 ， 证 书 管理 器 处 理应 用 于 证 书 的 操作 集合 ， 在 完成 注册 过 程 
后 ，CA 必须 对 证 书 负 责 。 证 书 管理 包括 以 下 过 程 : 证书 注册 、 证 书 更 新 、 证 书 撤消 。 

(1) 证 书 注册 : 与 申请 护照 的 过 程 类 似 ， 数 字 证 书 的 注册 由 申请 人 提交 申请 开始 ， 并 
附 上 证 书 所 要 求 的 各 种 证 明和 信息 ， 经 过 证 书 注册 机 构 的 验证 校 验 ， 确 认 申请 者 的 身份 合 
法 后 ， 方 可 完成 注册 过 程 。 

(2) 证 书 更 新 : 证 书 在 安全 的 有 效 期 过 期 前 ， 或 者 由 于 某 些 不 可 预料 的 原因 需要 更 新 。 
一 方面 ， 由 于 安全 措施 上 的 疏忽 或 者 软件 出 现 的 问题 导致 密 钥 泄露 ， 另 一 方面 ， 证 书 拥 有 
者 也 许 离 开 了 颁发 证 书 的 部 门 单位 , 而 先前 所 颁发 的 证 书 将 用 户 与 该 部 门 单 位 联系 在 一 起 ， 
所 以 ， 这 时 候 必须 更 新 证 书信 息 ， 使 先前 的 证 书 和 身份 无 效 。 

(3) 证 书 撤消 : 大 多 数 情况 下 , CA 用 来 公布 已 经 更 改 的 证 书 状态 的 机 制 是 一 个 撤消 证 
书 列表 。 该 列表 包括 已 被 撤消 证 书 的 序列 号 与 撤消 日 期 ， 还 有 标识 撤消 原因 的 状态 。 

某 证 书 被 撤消 后 ， 通 常会 将 这 一 类 证 书 的 信息 存放 在 一 个 目录 列表 中 ， 以 供 证 书 验证 
时 参考 。 证 书 用 户 在 验证 证 书 的 同时 ， 也 从 该 目录 下 载 了 列表 ， 并 查询 该 列表 以 确认 需要 
验证 的 证 书 不 在 撤消 列表 之 内 。 

证 书 撤消 的 列表 有 一 个 公布 的 周期 ， 该 周期 时 间 由 CA 决定 ， 可 以 是 一 天 ， 或 者 一 个 
星期 ， 这 依赖 于 认证 操作 管理 的 规范 定义 的 策略 。 更 新 该 列表 的 频率 ， 对 于 证 书 使 用 者 可 
以 寄予 证 书 多 高 的 信任 级 别 有 直 接 的 关系 。 


9.6.3 PKI 系统 的 功能 

一 个 完整 的 PKI 系统 对 于 数字 证 书 的 操作 通常 包括 证 书 颁发 、 证 书 更 新 、 证 书 废除 、 
证 书 和 CRL 的 公布 、 证 书 状 态 的 在 线 查询 、 证 书 认 证 等 ， 具 体 曾 述 如 下 。 

1. 证 书 颁发 

申请 者 在 CA 的 注册 机 构 (RA) 进 行 注册 ， 申 请 证 书 。CA 对 申请 者 进行 审核 ,审核 通过 
则 生成 证 书 ， 颁 发 给 申请 者 。 

2. 证 书 更 新 

证 书 的 更 新 包括 证 书 的 更 换 和 证 书 的 延期 两 种 情况 。 

证 书 的 更 换 实际 上 是 重新 颁发 证 书 ， 因 此 ， 证 书 的 更 换 过 程 和 证 书 的 申请 流程 情况 基 
本 一 致 。 

证 书 的 延期 只 是 将 证 书 有 效 期 延长 ， 其 签名 和 加 密 信 息 的 公私 密 钥 没有 改变 。 


NE 
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3. 证 书 废除 


证 书 持 有 者 可 以 向 CA 申请 废除 证 书 。CA 通过 认证 核实 ， 即 可 履行 废除 证 书 职责 ， 通 
知 有 关 组 织 和 个 人 ， 并 写 入 黑 名 单 CRL(Certificate Revocation List)。 有 些 人 (如 证 书 持 有 者 
的 上 级 或 老板 ) 也 可 申请 废除 证 书 持 有 者 的 证 书 。 


4. 证 书 和 CRL 的 公布 


CA 通过 LDAP(Lightweight Directory Access Protocol) 服 务 器 ， 维 护 用 户 证 书 和 黑 名 单 
(CRL)， 它 向 用 户 提供 目录 浏览 服务 ， 负 责 将 新 签发 的 证 书 或 废除 的 证 书 加 入 到 LDAP 服 
务 器 上 ， 这 样 ， 用 户 通 过 访问 LDAP 服务 器 ， 就 能 够 得 到 他 人 的 数字 证 书 ， 或 能 够 访问 黑 
名 单 。 


5. 证 书 状 态 的 在 线 查询 


通常 ，CRL 签发 为 一 日 一 次 ，CRL 的 状态 同 当前 证 书 状态 有 一 定 的 滞后 ， 证 书 状态 的 
在 线 查 询 向 OCSP(Online Certificate Status Protocol) 服 务 器 发 送 OCSP 查询 包 ， 包 含有 待 验 
证 证 书 的 序列 号 ， 验 证 时 戳 ，OCSP 服务 器 返回 证 书 的 当前 状态 ， 并 对 返回 结果 加 以 签名 。 
在 线 证 书 状 态 查 询 比 CRL 更 具有 时 效 性 。 

6. 证 书 认 证 

在 进行 网 上 交易 双方 的 身份 认证 时 , 交易 双方 互相 提供 自己 的 证 书 和 数字 签名 , 由 CA 
来 对 证 书 进 行 有 效 性 和 真实 性 的 认证 。 在 实际 中 ， 一 个 CA 很 难得 到 所 有 用 户 的 信任 ， 并 
接受 它 所 发 行 的 所 有 公 钥 用 户 的 证 书 ， 而 且 这 个 CA 也 很 难 对 有 关 的 所 有 潜在 注册 用 户 有 
足够 全 面 的 了 解 ， 这 就 需要 多 个 CA。 在 多 个 CA 系统 中 ,， 令 由 特定 CA 发 放 证 书 的 所 有 用 
户 组 成 一 个 域 。 若 一 个 持 有 由 特定 CA 发 证 的 公 钥 用 户 要 与 由 另 一 个 CA 发 放 公 钥 证 书 的 
用 户 进行 安全 通信 ， 需 要 解决 跨 域 的 公 钥 安全 认证 和 递送 ， 建 立 一 个 可 信任 的 证 书 链 或 证 
书 通 路 ， 高 层 CA 称 作 根 CA， 它 向 低层 CA 发 放 公 钥 证 书 。 


9.6.4 常用 的 信任 模型 


选择 信任 模型 (Trust Model) 是 构建 和 运作 PKI 所 需 的 一 个 环节 ， 选 择 正确 的 信任 模型 
以 及 它 相应 的 安全 级 别 ， 是 非常 重要 的 。 同 时 ， 也 是 部 署 PKI 所 要 做 的 早期 的 和 基本 的 决 
策 之 一 。 

所 谓 信任 模型 ， 就 是 一 个 建立 和 管理 信任 关系 的 框架 ， 是 PKI 系统 网 络 结构 的 基础 。 
在 公 钥 基础 设施 中 ， 当 两 个 认证 机 构 中 的 一 方 给 对 方 的 公 钥 或 双方 给 对 方 的 公 钥 颁发 证 书 
时 ， 两 者 间 就 建立 了 这 种 信任 关系 。 信 任 模型 描述 了 如 何 建立 不 同 认 证 机 构 之 间 的 认证 路 
径 以 及 构建 和 寻找 信任 路 径 的 规则 。 

基于 X.509 证 书 的 信任 模型 主要 有 以 下 几 种 : 

@ 单 CA 信任 模型 。 

@ ”严格 分 级 信任 模型 。 

@ ”分 布 式 信 任 结构 模型 ， 即 网 状 信任 模型 。 


算 e@ ” 桥 CA 信任 模型 。 


册 @ ”Web 信任 模型 。 

络 @ ”以 用 户 为 中 心 的 信任 模型 ， 即 用 户 信任 模型 。 

全 在 真正 了 解 信 任 模型 之 前 ， 我 们 有 必要 对 信任 模型 中 出 现 的 一 些 概念 进行 解释 。 
大 


1. 信任 的 相关 概念 


在 一 个 信任 模型 中 ， 经 常 出 现 的 概念 包括 信任 、 信 任 水 平 (信任 度 )、 信 任 模型 、 信 任 
域 、 信 任 销 、 信 任 关系 等 。 
”信任 : 如 果 一 个 实体 假定 另 一 个 实体 会 严格 地 像 期 望 的 那样 行动 ， 就 称 它 信任 那 
个 实体 。 信 任 包含 双方 的 一 种 关系 以 及 对 该 关系 的 期 望 。 
@ 一 信任 水 平 (信任 度 )。 描述 了 信任 的 一 方 对 另 一 方 的 信任 程度 ， 信 任 水 平 高 低 的 情 
况 ， 可 能 需要 引入 第 三 方 。 信 任 总 是 与 风险 相 联系 的 。 
@ “信任 模型 :规定 了 最 初 信任 的 建立 ， 以 及 它 允许 对 基础 结构 的 安全 性 以 及 被 这 种 
结构 所 强加 的 限制 进行 更 详尽 的 推理 。 
@ 一 信任 域 : 是 公共 控制 下 或 服从 于 一 组 公共 策略 的 系统 集 ， 策 略 可 以 通过 明确 规定 ， 
也 可 通过 操作 过 程 指定 。 信 任 域 可 以 按照 组 织 或 地 理 界限 来 划分 。 
e。 信任 错 :信任 模型 中 ， 直 接 确定 一 个 身份 或 通过 可 信 实 体 签发 证 明 身份 ， 方 能 做 
出 信任 决定 ， 这 个 可 信 实 体 称 为 信任 错 。 
e。 信任 关系 :信任 模型 描述 了 信任 关系 的 方法 ， 信 任 关系 可 以 是 单 向 的 ， 也 可 以 是 
双向 的 。 
接 下 来 ， 就 对 上 面 提 到 的 几 种 信任 模型 一 一 进行 阐述。 
2， 常用 的 信任 模型 


(1) 单 CA 信任 模型 

这 是 最 基本 的 信任 模型 ， 也 是 在 企业 环境 中 比较 实用 的 一 种 模型 。 在 这 种 模型 中 ， 整 
个 PKI 体系 只 有 一 个 CA， 它 为 PKI 中 的 所 有 终端 用 户 签发 和 管理 证 书 。PKI 中 的 所 有 终 
端 用 户 都 信任 这 个 CA。 每 个 证 书 路 径 都 起 始 于 该 CA 的 公 钥 , 该 CA 的 公 钥 成 为 PKI 体系 
中 唯一 的 用 户 信 任 锚 ， 如 图 9-17 所 示 。 
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图 9-17 单 CA 信任 模型 
作为 最 简单 的 信任 模型 ， 单 CA 信任 模型 具有 以 下 优点 : 容易 实现 ， 易 于 管理 ， 只 需 
要 建立 一 个 根 CA， 所 有 的 终端 用 户 都 能 实现 相互 认证 。 但 是 , 这 种 信任 模型 也 有 一 定 的 局 
限 性 ， 它 不 易 扩 展 到 支持 大 量 的 或 者 不 同 的 群体 用 户 。 因 为 终端 用 户 的 群体 越 大 ， 支 持 所 
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有 必要 的 应 用 就 越 困 难 。 

(2) 严格 分 级 信任 模型 

严格 分 级 信任 模型 也 叫 严格 层次 信任 模型 ， 它 是 一 个 以 主 从 CA 关系 建立 的 分 级 PKI 
结构 。 它 可 以 描绘 为 一 棵 倒转 的 树 ， 根 在 项 上 ,树枝 向 下 伸展 ， 树 叶 在 下 面 。 在 这 棵 倒转 的 
树 上 , 根 代 表 一 个 对 整个 PKI 域内 的 所 有 实体 都 有 特别 意义 的 CA 一 一 根 CA。 作 为 信任 锚 ， 
所 有 实体 都 信任 它 。 根 CA 通常 不 直接 为 终端 用 户 颁发 证 书 ， 而 只 为 子 CA 颁发 证 书 。 在 根 
CA 的 下 面 ， 是 零 层 或 多 层 子 CA， 子 CA 是 所 在 实体 集合 的 根 。 与 非 CA 的 PKI 实体 相对 
应 的 树叶 ,通常 被 称 作 终 端 用 户 。 两 个 不 同 的 终端 用 户 进行 交互 时 ， 双 方 都 提供 自己 的 证 书 
和 数字 签名 ， 通 过 根 CA 来 对 证 书 进行 有 效 性 和 真实 性 的 认证 。 信 任 关系 是 单 向 的 ， 上 级 
CA 可 以 而 且 必 须 认证 下 级 CA, 而 下 级 CA 不 能 认证 上 级 CA。 严 格 分 级 信任 模型 如 图 9-18 


所 示 。 
Cna > 
Cm ) Cm 
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9-18 ”严格 分 级 信任 模型 


增加 新 的 认证 域 用 户 容易 。 该 信任 域 可 以 直接 加 到 根 CA 以 下 ， 也 可 以 加 到 某 个 

子 CA 以 下 ， 这 两 种 情况 都 很 方便 ， 容 易 实 现 。 

@ ”证 书 路 径 由 于 其 单 向 性 ， 容 易 扩 展 ， 可 生成 从 终端 用 户 证 书 到 信任 锚 的 简单 明确 
的 路 径 。 

@ ”证 书 路 径 相对 较 短 , 最 长 的 路 径 等 于 树 的 深度 加 1, 每 个 从 属 CA 的 证 书 路 径 加 上 

终端 用 户 的 证 书 路 径 。 

证 书 短 小 、 简 单 。 因 为 用 户 可 以 根据 CA 在 PKI 中 的 位 置 来 确定 证 书 的 用 途 。 

存在 着 以 上 优点 的 同时 ， 严 格 分 级 信任 模型 也 有 着 诸多 不 足 ， 有 具体 如 下 : 

单个 CA 的 失败 会 影响 整个 PKI 体系 。 分 级 信任 模型 中 ， 某 个 CA 的 失败 操作 (如 

由 伪造 CA 签名 私 钥 造成 的 操作 失败 ) 所 带 来 的 干扰 与 该 CA 在 分 级 模型 中 所 处 的 

层次 有 关 。 与 顶层 CA 的 距离 越 得， 造成 的 混乱 越 大 。 由 于 所 有 的 信任 都 集中 在 
根 CA, 一 旦 该 CA 出 现 故障 ， 将 带 来 毁灭 性 的 后 果 。 目 前 还 没有 直接 的 恢复 技术 
来 应 付 这 种 情况 。 

@ 建造 一 个 统一 的 根 CA 是 不 现实 的 。 一 个 国家 诸多 企 事 业 单位 、 政 府 机 关 建 造 一 
个 统一 的 根 CA 是 不 大 可 能 的 ， 而 整个 世界 建造 一 个 统一 的 根 CA， 甚 至 在 政治 上 
是 不 允许 的 。 由 一 组 彼此 分 离 的 CA 过 渡 到 分 级 的 PKI， 逮 辑 上 是 不 现实 的 。 

(3) 网 状 信任 模型 

网 状 信任 模型 也 叫 分 布 式 信任 模型 ， 在 这 种 模型 中 ，CA 间 存 在 着 交叉 认证 。 如 果 任 何 
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算 | 两 个 CA 间 都 存在 着 交叉 认证 ， 则 这 种 模型 就 成 为 严格 网 状 信任 模型 ， 如 图 9-19 所 示 。 


与 在 PKI 体系 中 的 所 有 实体 都 信任 唯一 根 CA 的 分 级 信任 模型 相反 ， 网 状 信任 模型 把 
分 散 到 两 个 或 更 多 个 CA 上 。 A 把 CA1 的 公 钥 作为 其 信任 锚 , B 把 CA2 的 公 钥 作为 其 


F 锚 。 
至 | 个 子 集 所 构成 的 严格 分 级 结构 的 根 CA(CA1 是 包括 A 在 内 的 分 级 模型 的 根 , CA2 是 包括 B 
而 | 在 内 的 分 级 模型 的 根 )。 


oe 


因为 这 些 CA 的 公 钥 都 作为 信任 锚 ， 因 此 ， 相 应 的 CA 必须 是 整个 PKI 群体 的 一 


图 9-19 严格 网 状 信任 模型 


通过 分 析 可 以 看 出 ， 网 状 信任 模型 具有 下 列 优点 : 

具有 更 好 的 灵活 性 。 因 为 存在 多 个 信任 锚 ， 单 个 CA 安全 性 的 削弱 不 会 影响 到 整 
个 PKI 系统 。 那 些 向 安全 性 削弱 的 CA 发 放 过 证 书 的 CA， 只 需 吊 销 该 证 书 ， 从 
PKI 中 删除 该 CA。 与 其 他 CA 关联 的 用 户 仍 然 会 有 一 个 正确 的 信任 锚 ， 能够 安全 
地 与 PKI 中 的 其 余 用 户 通信 。 

从 安全 性 削弱 的 CA 中 恢复 相对 容易 。 而 且 它 只 影响 到 数量 较 少 的 用 户 。 

增加 新 的 认证 域 更 为 容易 。 只 需 新 的 根 CA 在 网 中 至 少 向 一 个 CA 发 放 过 证 书 ， 

用 户 不 需要 改变 信任 锚 。 当 一 个 组 织 想 要 整合 各 个 独立 开发 的 PKI 体系 时 ， 这 是 
很 有 效 的 。 

相 比 之 下 ， 网 状 信任 模型 还 具有 如 下 一 些 不 可 避免 的 缺点 : 

路 径 发 现 比较 困难 。 从 终端 用 户 证 书 到 信任 锚 建 立 证 书 的 路 径 是 不 确定 的 ， 因 为 
存在 多 种 选择 ， 使 得 路 径 发 现 比较 困难 。 有 些 选择 可 以 形成 正确 的 路 径 ， 而 其 他 
选择 则 会 失败 。 更 有 甚 者， 在 网 状 模型 的 PKI 中 ， 可 能 会 建立 一 个 永 不 终止 的 证 
书 环 路 。 

扩展 性 差 。 网 中 的 用 户 必 须 基于 证 书 的 内 容 而 非 CA 在 PKI 中 的 位 置 ， 来 确定 证 
书 的 用 途 。 证 书 路 径 上 的 每 一 个 证 书 都 需要 这 样 做 ， 这 就 需要 更 大 、 更 为 复杂 的 
证 书 ， 和 更 为 复杂 的 证 书 路 径 处 理 。 这 种 扩展 性 上 的 缺陷 ， 是 由 网 状 信任 模型 的 
双向 认证 模式 带 来 的 。 


(4) 桥 CA 信任 模型 
桥 CA 信任 模型 也 称 为 中 心 辐射 式 信任 模型 。 它 被 设计 成 用 来 克服 分 级 模型 和 网 状 模 
型 的 缺点 和 连接 不 同 的 PKI 体系 。 不同 于 网 状 模型 中 的 CA, 桥 CA 与 不 同 的 信任 域 建立 对 


第 9 章 _ 客 码 学 @@ 


等 的 信任 关系 ， 人 允许 用 户 保持 原 有 的 信任 锚 。 这 些 关 系 被 连接 起 来 ， 形 成 信任 桥 ， 使 得 来 
自 不 同 信任 域 的 用 户 通过 指定 信任 级 别 的 桥 CA 相互 作用 。 桥 CA 不 是 一 个 树 状 结构 的 CA， 
也 不 像 网 状 CA， 它 不 直接 向 用 户 颁 发 证 书 ， 不 像 根 CA 一 样 成 为 一 个 信任 锚 ， 它 只 是 一 个 
单独 的 CA, 它 与 不 同 的 信任 域 建立 对 等 的 信任 关系 , 允许 用 户 保 留 他 们 自己 的 原始 信任 锚 。 
正如 我 们 在 网 络 中 所 使 用 的 Hub 一 样 ,任何 结构 类 型 的 PKI 都 可 以 通过 桥 CA 连接 在 一 起 ， 
实现 彼此 之 间 的 信任 ， 每 一 个 单独 的 信任 域 都 可 以 通过 桥 CA 扩展 到 整个 PKI 体系 中 ， 具 
体 如 图 9-20 所 示 。 
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9-20 桥 CA 信任 模型 


由 图 9-20 可 以 看 出 ， 桥 CA 信任 模型 相对 比较 分 散 ， 同 时 也 比较 准确 地 代表 了 现实 世 
界 中 证 书 机 构 的 相互 关系 ， 有 很 强 的 现实 性 。 其 次 ， 桥 CA 在 单一 的 、 已 知 的 核心 上 可 以 
连接 多 个 PKI。 用 户 知 道 他 们 到 桥 CA 的 路 径 , 从 而 只 需要 确定 从 桥 CA 到 用 户 证 书 的 证 书 
路 径 ( 但 这 比分 级 结构 困难 )， 就 可 以 知道 自己 到 证 书 的 路 径 。 此 外 ， 桥 CA 架构 的 PKI 比 
起 具有 相同 数量 CA 的 随机 网 状 结构 PKI， 具 有 更 短 的 可 信任 路 径 。 

但 是 ， 桥 CA 的 这 种 架构 也 存在 着 一 些 不 足 ， 例 如 ， 证 书 路 径 的 有 效 发 现 和 确认 仍然 
不 很 理想 。 因 为 基于 桥 CA 模型 的 PKI 系统 可 能 会 包括 部 分 的 网 状 模型 ， 这 就 要 求 所 有 的 
用 户 能 开发 和 确认 复杂 的 证 书 路 径 。 大 型 PKI 目录 的 互 操作 性 仍 不 方便 。 证 书 复杂 。 基 于 
桥 CA 模型 的 PKI 体系 中 ， 桥 CA 需要 利用 证 书信 息 来 限制 不 同 企业 PKI 的 信任 关系 ， 这 
会 导致 证 书 的 处 理 更 为 复杂 。 证 书 和 证 书 状 态 信 息 不 易 获取 。 

(5) Web 信任 模型 

这 种 模型 主要 构建 在 浏览 器 的 基础 上 , 浏览 器 厂商 在 浏览 器 中 内 置 了 多 个 根 CA, 每 个 
根 CA 相互 间 是 平行 的 ， 浏 览 器 用 户 信任 这 多 个 根 CA， 并 把 这 多 个 根 CA 作为 自己 的 信任 
锚 。 这 种 模型 ， 表 面 上 与 分 布 式 信任 模型 颇 为 相似 ， 实 际 上 ， 它 更 接近 严格 分 级 模型 。 它 
通过 与 相关 域 进行 互 连 而 不 是 扩大 现 有 的 主体 群 ， 来 使 客户 实体 成 为 在 浏览 器 中 所 给 出 的 
所 有 域 的 依托 方 。 各 个 嵌入 的 根 CA 并 不 被 浏览 器 厂商 显 式 认证 ， 而 是 物理 地 嵌入 软件 来 
发 布 ， 作 为 对 CA 名 字 和 它 的 密 钥 的 安全 绑 定 。 但 是 ， 由 于 各 个 根 CA 是 浏览 器 厂商 内 置 
的 ， 浏 览 器 厂商 隐 含 认证 了 这 些 根 CA。 这 样 ， 浏 览 器 厂商 就 成 为 事实 上 的 隐 含 的 根 CA。 

Web 信任 模型 在 方便 性 和 简单 互 操 作 性 方面 有 着 明显 的 优势 ， 但 是 ， 也 存在 着 诸多 隐 
患 。 例 如 ， 因 为 浏览 器 的 用 户 自动 地 信任 预 安装 的 所 有 公 钥 ， 所 以 ， 即 使 这 些 根 CA 中 有 
一 个 是 “ 坏 的 ”， 如 该 CA 从 没有 真正 核实 被 认证 的 实体 ， 那 么 安全 性 将 被 破坏 。A 将 相 
信任 何 声称 是 B 的 证 书 都 是 B 的 合法 证 书 , 即使 它 实 际 上 只 是 由 公 钥 嵌入 浏览 器 中 的 坏 的 
CA 签署 的 挂 在 B 名 下 C 的 公 钥 。 所 以 ，A 就 可 能 无 意 间 向 C 透露 机 密 ， 或 接受 C 伪造 的 
数字 签名 。 


另 一 个 潜在 的 安全 隐患 ， 是 没有 实用 的 机 制 来 撤消 嵌入 浏览 器 中 的 根 密 钥 。 如 果 发 现 
中 一 个 根 密 钥 是 “ 坏 的 ”( 就 像 前 面 所 讨论 的 那样 ) 或 者 与 根 的 公 钥 相 对 应 的 私 钥 被 泄密 了 ， 
络 | 要 使 全 世界 数 百 万 个 浏览 器 都 自动 地 废止 该 密 钥 的 使 用 ， 是 不 可 能 ， 也 是 不 现实 的 。 这 是 
安 | 因为 无 法 保证 通报 的 报 文 能 到 达 所 有 的 浏览 器 ， 而 且 即 使 报 文 到 达 了 浏览 器 ， 浏 览 器 也 没 
加 有 处 理 该 报 文 的 功能 。 因 此 ， 从 浏览 器 中 去 掉 坏 密 钥 ， 需 要 全 世界 的 每 个 用 户 都 同时 采取 
人 剖 | 明确 的 动作 ， 否 则 ， 一 些 用 户 是 安全 的 ， 而 其 他 用 户 仍然 处 于 危险 中 。 但 是 ， 这 样 一 个 全 
世界 范围 内 的 同时 动作 是 不 可 能 实现 的 。 

最 后 ， 该 模型 还 缺少 在 CA 和 用 户 之 间 建 立 合 法 协议 的 有 效 的 方法 ， 而 该 协议 的 目的 
是 使 CA 和 用 户 共同 承担 责任 。 因 为 浏览 器 可 以 自由 地 从 不 同 站 点 下 载 ， 也 可 以 预 安装 在 
操作 系统 中 ，CA 不 知道 (也 无 法 确定 ) 它 的 用 户 是 谁 ， 并 且 一 般 用 户 对 PKI 也 缺乏 足够 的 了 
解 ， 因 此 不 会 主动 与 CA 直接 接触 。 这 样 ， 最 后 的 责任 最 终 或 许 都 会 由 用 户 来 承担 。 

(6) 以 用 户 为 中 心 的 信任 模型 

在 这 种 信任 模型 中 ， 每 个 用 户 都 直接 决定 信赖 哪个 证 书 和 拒绝 哪个 证 书 ， 没 有 可 信 的 
第 三 方 作为 CA， 终端 用 户 就 是 自己 的 根 CA。 用 户 信任 模型 如 图 9-24 所 示 。 


9-24 ”用 户 信 任 模型 


经 过 分 析 ， 我 们 不 难 发 现 ， 用 户 信任 模型 具有 如 下 优点 : 

安全 性 很 强 。 在 高 技术 性 和 高 利害 关系 的 群体 中 ， 这 种 模型 具有 优势 。 

用 户 可 控 性 很 强 。 用 户 可 自己 决定 是 否 信赖 某 个 证 书 ， 也 就 是 说 ， 每 个 用 户 都 对 
决定 信赖 哪个 证 书 和 拒绝 哪个 证 书 直接 、 完 全 地 负责 。 

同时 ， 用 户 信任 模型 也 存在 着 以 下 的 缺点 和 不 足 : 

使 用 范围 较 窗 。 由 于 普通 用 户 甚 少 关心 安全 方面 的 知识 ， 也 很 少 有 用 户 了 解 PKI 
的 概念 ， 将 发 放 和 管理 证 书 的 任务 交 给 用 户 是 不 现实 的 。 

这 种 模型 在 公司 、 金 融 或 者 政府 环境 都 是 不 适宜 的 。 因 为 在 这 些 群 体 中 ， 往 往 需 
要 以 组 织 的 方式 控制 一 些 公 钥 ， 而 不 希望 完全 由 用 户 自己 控制 。 这 样 的 组 织 信 任 
策略 在 以 用 户 为 中 心 的 模型 中 ， 不 能 用 任何 一 种 自动 的 和 可 实施 的 方式 来 实现 。 


9.6.5 基于 PKI 的 服务 


PKI 作为 安全 基础 设施 ， 提 供 常用 PKI 功能 的 可 复 用 函数 ， 为 不 同 的 用 户 实体 提供 多 
种 安全 服务 ， 其 中 ， 分 为 核心 服务 和 支撑 服务 。 核 心服 务 能 让 实体 证 明 它们 就 是 其 所 申明 
的 身份 ， 保 证 重要 数据 没有 被 以 任何 方式 修改 ， 确 信 发 送 的 数据 只 能 由 接收 方 读 懂 。 
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1. 核心 服务 


核心 服务 主要 包括 认证 、 完 整 性 和 机 密 性 三 个 方面 。 

(1) 认证 

认证 即 为 身份 识别 与 鉴别 ， 即 确认 实体 是 其 所 申明 的 实体 ， 鉴 别 其 身份 的 真 伪 。 鉴 别 
有 两 种 ， 其 一 是 实体 鉴别 ， 实 体 身份 通过 认证 后 ， 可 获得 某 些 操作 或 通信 的 权限 ， 其 二 是 
数据 来 源 鉴 别 ， 它 是 鉴定 某 个 指定 的 数据 是 否 来 源 于 某 个 特定 的 实体 ， 是 为 了 确定 被 鉴别 
的 实体 与 一 些 特定 数据 有 着 不 可 分 割 的 联系 。 

(2) 完整 性 

完整 性 就 是 确认 数据 没有 被 修改 ， 即 数据 无 论 是 在 传输 还 是 在 存储 过 程 中 ， 经 过 检查 
没有 被 修改 。 采 用 数据 签名 技术 ， 既 可 以 提供 实体 认证 ， 也 可 以 保证 被 签名 数据 的 完整 性 。 
完整 性 服务 也 可 以 采用 消息 认证 码 ， 即 报 文 校 验 码 MAC。 

(3) 机 密 性 

又 称 机 密 性 服务 ， 就 是 确保 数据 的 秘密 。PKI 的 机 密 性 服务 是 一 个 框架 结构 ， 通 过 它 
可 以 完成 算法 协商 和 密 钥 交换 ， 而 且 对 参与 通信 的 实体 是 完全 透明 的 。 

2.， 支撑 服务 


PKI 支 撑 服务 主要 包括 不 可 否认 性 服务 、 安 全 时 间 戳 服务 和 公证 服务 三 个 方面 。 

(1) 不 可 否认 性 服务 

指 从 技术 上 用 于 保证 实体 对 它们 的 行为 的 诚实 性 。 最 受 关注 的 是 对 数据 来 源 的 不 可 否 
认 ， 即 用 户 不 能 否认 敏感 消息 或 文件 不 是 来 源 于 它 ， 以 及 接收 后 的 不 可 否认 性 ， 即 用 户 不 
能 否认 它 已 接收 到 了 敏感 信息 或 文件 。 此 外 ， 还 包括 传输 的 不 可 否认 性 、 创 建 的 不 可 否认 
性 以 及 同意 的 不 可 否认 性 等 。 

(2) 安全 时 间 戳 服务 

用 来 证 明 一 组 数据 在 某 个 特定 时 间 是 否 存在 , 它 使 用 核心 PKI 服务 中 的 认证 和 完整 性 。 
一 份 文档 上 的 时 间 惟 涉及 到 对 时 间 和 文档 的 Hash 值 的 数字 签名 , 权威 的 签名 提供 了 数据 的 
真实 性 和 完整 性 。 

(3) 公证 服务 

PKI 中 运行 的 公证 服务 是 “数据 认证 ”含义 。 也 就 是 说 ，CA 机 构 中 的 公证 人 证 明 数 据 
是 有 效 的 或 正确 的 ， 而 正确 性 取决 于 数据 被 验证 的 方式 。 


9.6.6 PKI 系统 的 应 用 


广泛 的 应 用 是 普及 一 项 技术 的 保障 。PKI 支持 SSL、IP over VPN、S/MIME 等 协议 ， 
这 使 得 它 可 以 支持 加 密 Web、VPN、 安 全 邮件 等 应 用 。 而 且 ，PKI 支持 不 同 CA 间 的 交叉 
认证 ， 并 能 实现 证 书 、 密 钥 对 的 自动 更 换 ， 这 扩展 了 它 的 应 用 范畴 。 一 个 完整 的 PKI 产品 
除 主要 功能 外 ， 还 包括 交叉 认证 、 支 持 LDAP 协议 、 支 持 用 于 认证 的 智能 卡 等 。 

此 外 ，PKI 的 特性 融入 各 种 应 用 (如 防火 墙 、 浏 览 器 、 电 子 邮件 、 群 件 、 网 络 操作 系统 ) 
也 正在 成 为 趋势 。 基 于 PKI 技术 的 IPSec 协议 ， 现 在 已 经 成 为 架构 VPN 的 基础 。 它 可 以 为 
路 由 器 之 间 、 防 火 墙 之 间 ， 或 者 路 由 器 和 防火 墙 之 间 提供 经 过 加 密 和 认证 的 通信 。 


目前 ， 发展 很 快 的 安全 电子 邮件 协议 是 SIMIME，S/MIME 是 一 个 用 于 发 送 安全 报 文 的 
机 | IETF 标准 。 基 于 PKI 技术 的 SSL/TLS 是 互联 网 中 访问 Web 服务 器 最 重要 的 安全 协议 
蓝 ssL/TLS 都 是 利用 PKI 的 数字 证 书 来 认证 客户 和 服务 器 的 身份 的 。 

逢 可 中，PKI 的 市 场 需求 非常 巨大 ， 基 于 PKI 的 应 用 包括 了 许多 内 容 ， 如 WWW 安全 、 
是 


:| 电子 邮件 安全 、 电 子 数 据 交 换 、 信 用 卡 交 易 安 全 、VPN。 从 行业 应 用 看 ， 电 子 商 务 、 电 子 
础 | 政务 等 方面 都 离 不 开 PKI 技术 。 


9.7 ”密码 学 的 应 用 


密码 学 不 仅 是 关乎 信息 的 加 密 和 解密 , 它 也 涉及 解决 现实 世界 中 需要 信息 安全 的 问题 。 
主要 的 目标 有 4 个 ， 即 机 密 性 、 数 据 完整 性 、 鉴 别 和 不 可 抵赖 性 。 基 于 此 ， 密 码 的 具体 应 
用 大 体 上 有 以 下 几 种 。 

(1) 数字 签名 。 纸 质 文件 的 一 个 最 重要 的 特征 就 是 它 的 签名 。 当 一 份 文件 署名 后 ， 个 
体 的 身份 就 与 消息 结合 在 一 起 了 ， 这 使 得 其 他 人 要 在 另 一 份 文件 上 伪造 签名 是 很 困难 的 。 
但 电子 信息 却 很 容易 被 完全 复制 ， 怎 么 才能 防止 敌对 方 把 一 份 文件 的 签名 剪贴 到 另 一 份 电 
子 文件 上 呢 ? 我 们 将 研究 对 电子 信息 进行 签名 这 类 的 密码 协议 ， 它 使 得 每 个 人 都 相信 电子 
信息 的 签名 者 就 是 文件 的 签名 人 ， 并 且 签名 人 不 能 否认 对 文件 的 签署 。 

(2) 身份 识别 。 当 登录 一 台 机 器 或 创建 一 个 通信 链接 时 ， 用 户 要 验证 自己 的 身份 。 但 
简单 地 输入 用 户 名 是 不 够 的 ， 因 为 这 不 能 证 明 这 个 用 户 就 是 他 (她 ) 所 声称 的 那个 用 户 ， 通 
常 要 使 用 一 个 口令 。 我 们 将 会 接触 各 种 验证 身份 的 方法 。 在 关于 DES 的 内 容 中 ， 会 讨论 口 
令 文件 。 

(3) 密 钥 建立 。 当 大 量 的 数据 要 加 密 时 ， 最 好 是 使 用 对 称 密 钥 加 密 方法 。 但 当 发 送 方 
不 能 亲自 与 接收 方 会 面 时 ， 如 何 把 密 钥 交 给 接收 方 呢 ? 有 多 种 方法 可 以 做 到 这 点 ， 其 中 一 
种 方法 ， 是 使 用 公 钥 密码 ， 另 一 种 是 Diffie-Hellman 密 钥 交 换算 法 。 

(4) 秘密 分 享 。 我 们 将 在 第 10 章 介绍 秘密 分 享 方案 .假设 你 有 一 个 银行 保险 箱 的 密码 ， 
但 你 不 想 把 这 个 密码 托付 给 单个 人 ， 而 是 想 把 它 分 配 到 一 群 人 中 ， 这 样 要 打开 保险 箱 ， 就 
至 少 要 他 们 当中 的 两 个 人 在 场 。 秘 密 分 享 就 是 要 解决 这 个 问题 。 

(5) 安全 协议 。 怎 样 才 能 在 像 因 特 网 这 样 的 公开 渠道 上 安全 交易 ? 怎么 保护 信用 卡 上 
的 信息 而 不 被 诈骗 商 侵害 ? 我 们 将 讨论 各 种 协议 ， 如 电子 现金 协议 、 电 子 交易 协议 等 。 

(6) 电子 现金 。 信 用 卡 之 类 的 东西 虽然 方便 ， 但 不 具有 匿名 性 。 至 少 对 某 些 人 来 说 ， 
电子 现金 这 种 形式 很 管用 。 可 是 电子 的 东西 能 被 复制 。 

(7) 游戏 。 怎 么 与 跟 你 不 在 同一 个 房间 的 人 玩 抛 硬 币 游戏 或 纸牌 游戏 ? 如 发 牌 就 是 
一 个 问题 。 


本 章 小 结 


密码 学 是 研究 编制 密码 和 破译 密码 的 技术 科学 。 本 章 从 密码 学 的 发 展 史 出 发 ， 引 入 密 
码 学 的 基本 概念 ， 介 绍 了 对 称 密码 体制 和 非 对 称 密码 体制 ， 并 较 详细 地 讲述 几 种 经 典 密码 
学 算法 ， 如 DES、AES、RSA、Diffie-Hellman 算法 等 。Hash 函数 作为 一 种 单 向 密码 体制 ， 
在 数据 完整 性 认证 、 数 字 签名 等 领域 有 着 广泛 的 应 用 。 而 数字 签名 主要 用 于 保证 信息 的 完 
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整 性 ， 是 密码 学 的 重要 应 用 之 一 。 公 和 钥 基 础 设施 用 于 非 对 称 密码 算法 原理 和 技术 实现 ， 并 
提供 安全 服务 的 具有 通用 性 的 安全 基础 设施 。 本 章 内 容 较 多 ， 和 希望 读者 在 阅读 完 本 章 知 识 
之 后 ， 能 够 掌握 对 称 密码 体制 和 非 对 称 密码 体制 ， 掌 握 经 典 算法 的 内 容 ， 并 了 解 其 实现 的 
过 程 ， 其 次 ， 还 需要 了 解数 字 签名 和 PKI 技术 。 


1. 用 Playfair 算法 加 密 明 文 “Playfair cipher was actually invented by wheatstone”， 密 
钥 是 threestars。 

2. 什么 是 分 组 密码 的 操作 模式 ? 有 哪些 主要 的 分 组 密码 操作 模式 ?其 工作 原理 是 什 
么 ? 各 有 何 特点 ? 

3. 画 出 图 形 ， 描 述 DES 的 加 密 思 想 和 下 函数 。 

4. 务 出 图 形 ， 描 述 AES 算法 。 

5. 对 称 密码 体制 和 非 对 称 密码 体制 各 有 何 优 缺点 ? 

6. 选择 Dp=7，q=17，e=5， 试 用 RSA 方法 对 明文 m=19 进 行 加 、 解 密 运算 ， 给 出 
签名 和 验证 结果 (给 出 其 过 程 )， 并 指出 公 钥 和 私 钥 各 是 什么 ? 

7. 一 个 完整 的 PKI 系统 应 该 包含 哪些 部 分 ?每 个 部 分 的 主要 功能 是 什么 ? 

8. 请 结合 本 章 所 讲述 的 相关 内 容 ， 及 参考 相关 资料 ， 设 计 一 个 合理 的 桥 CA 认证 体系 
(比如 中 国 国家 级 CA 认证 体系 )， 并 具体 病 述 各 部 分 的 功能 。 
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信息 安全 是 一 个 没有 尽头 的 任务 ， 信 息 社会 存在 一 天 ， 信 息 安全 就 会 存在 一 天 。 攻 防 
同 生 共 存 ， 道 高 一 尺 ， 魔 高 一 丈 ， 反 之 亦 然 。 完 美的 理论 ， 不 一 定 能 够 解决 信息 安全 的 实 
际 问 题 ， 理 论 到 实践 是 一 个 系统 工程 ， 而 安全 协议 的 模型 与 设计 是 这 个 工程 的 核心 ， 是 承 
载 信息 安全 体系 的 桥梁 ， 是 应 用 选择 理论 的 载体 。 设 计 安 全 协议 不 单单 是 基于 技术 本 身 ， 
也 要 考虑 应 用 的 成 本 、 代 价 和 体验 。 


10.1 安全 协议 概述 


10.1.1 安全 协议 的 基本 概念 


安全 协议 (Security Protocol)， 又 称 密码 协议 (Cryptographic Protocol)， 是 以 密码 学 为 基 
础 的 消息 交换 协议 ， 其 目的 是 在 网 络 环 境 中 提供 各 种 安全 服务 。 

1.， 协议 、 算 法 与 安全 协议 

在 了 解 安全 协议 这 一 概念 之 前 ， 我 们 首先 要 知道 什么 是 协议 。 所 谓 协议 (Protocol)， 就 
是 两 个 或 两 个 以 上 的 参与 者 采取 一 系列 步骤 以 完成 某 项 特定 的 任务 ， 如 Intemet 中 的 他 协 
议 、TCP 协议 、UDP 协议 、FTP 协议 等 ， 还 有 现实 生活 中 的 购房 协议 、 棋 牌 游戏 规则 等 。 
这 包含 三 层 含义 : 第 一 ， 协 议 需要 两 个 或 两 个 以 上 的 参与 者 。 一 个 人 可 以 通过 执行 一 系列 
的 步骤 来 完成 一 项 任务 ， 但 它 构 不 成 协议 。 第 二 ， 在 参与 者 之 间 呈 现 为 消息 处 理 和 消息 交 
换 交 蔡 进 行 的 一 系列 步 又。 第 三 ， 通 过 执行 协议 ， 必 须 能 够 完成 某 项 任务 或 达成 某 项 共识 。 

协议 还 具有 以 下 特点 : 

@ 协议 中 的 每 个 参与 者 都 必须 了 解 协议 ， 并 且 预 先知 道 所 要 完成 的 所 有 步 又 。 

@ 协议 中 的 每 个 参与 者 都 必须 同意 并 遵循 它 。 

@ ”协议 必须 是 清楚 的 ， 每 一 步 必须 明确 定义 ， 并 且 不 会 引起 误解 。 

@ ”协议 必须 是 完整 的 ， 对 每 种 情况 必须 规定 具体 的 动作 。 

协议 与 算法 不 同 。 算 法 应 用 于 协议 中 消息 处 理 的 环节 ， 对 不 同 的 消息 处 理 方式 则 要 求 
不 同 的 算法 。 

安全 协议 (Security Protocol) 是 建立 在 某 种 体系 (密码 体制 、 量 子 豪 性 ) 的 基础 上 ， 且 提供 
安全 服务 的 一 种 交互 通信 的 协议 ， 它 运行 在 计算 机 通信 网 络 或 分 布 式 系统 中 ， 借 助 于 特定 
算法 来 实现 密 钥 分 配 、 身 份 认证 等 目的 。 

安全 协议 的 通信 系统 基本 安全 模型 如 图 10-1 所 示 。 

安全 协议 的 参与 者 可 能 是 可 以 信任 的 实体 ， 也 可 能 是 攻击 者 和 完全 不 信任 的 实体 。 安 
全 协议 的 目标 不 仅仅 是 实现 信息 的 加 密 传 输 ， 参 与 协议 的 各 方 可 能 希望 通过 分 享 部 分 秘密 
来 计算 某 个 值 、 生 成 某 个 随机 序列 、 向 对 方 表 明 自 己 的 身份 或 签订 某 个 合同 等 。 解 决 这 些 
安全 问题 就 需要 在 协议 中 采用 秘密 技术 ， 因 为 它们 是 防止 或 检测 非法 用 户 对 网 络 进行 窃听 
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和 欺骗 攻击 的 关键 技术 措施 。 
信 源 |- 呈 >| 加 社 a 呈 于 | 信 富 


图 10-1 通信 系统 的 安全 模型 


对 于 采用 了 这 些 技术 的 安全 协议 来 说 ， 如 果 非 法 用 户 不 可 能 从 协议 中 获得 比 协 议 自身 
所 体现 的 更 多 的 、 有 用 的 信息 ， 那 么 ， 就 可 以 说 协议 是 安全 的 。 安 全 协议 采用 了 多 种 不 同 
的 密码 体制 ， 其 层次 结构 如 表 10-1 所 示 。 


表 10-1 安全 协议 的 层次 结构 


层 次 量子 密码 
高 级 协议 。 | 身份 认证 、 不 可 否认 、 群 签名 量子 密 钥 分 发 、 博 计量 子 密 钥 协商 
基本 协议 | 数字 签名 、 堆 知识、 秘密 共享 量子 签名 


基本 算法 对 称 加 密 、 非 对 称 加 密 、Hash 函数 量子 Hash 函数 
理论 基础 核心 断言 、 数 论 、 抽 象 代数 、 数 学 难题 不 可 克隆 、 真 随机 性 、 数 学 难题 


从 表 10-1 可 以 看 出 ， 安 全 协议 建构 在 数学 或 量子 信息 科学 基础 和 基本 算法 之 上 ， 并 且 
往往 涉及 秘密 共享 、 加 密 、 签 名 、 承 诺 、 零 知识 证 明 等 许多 基础 协议 ， 因 此 ， 安 全 协议 的 
设计 比较 庞大 而 复杂 , 设计 满足 各 种 安全 性 质 的 安全 协议 成 为 一 项 具有 挑战 性 的 研究 工作 。 

当前 存在 着 大 量 的 实现 不 同安 全 服务 的 安全 协议 ， 其 中 最 常用 的 基本 安全 协议 按照 其 
完成 的 功能 ， 可 分 类 起 名 ， 如 电子 支付 协议 、 分 布 式 环境 下 的 身份 鉴别 协议 、 不 可 否认 协 
议 、 密 钥 协商 协议 等 。 

2. 协议 运行 环境 中 的 角色 


(1) 参与 者 

协议 执行 过 程 中 的 双方 或 多 方 ， 也 就 是 人 们 常 说 的 发 送 方 和 接收 方 。 协 议 的 参与 者 可 
能 是 完全 信任 的 人 ， 也 可 能 是 攻击 者 和 完全 不 信任 的 人 ， 比 如 ， 认 证 协议 中 的 发 起 者 和 响 
应 者 ， 零 知识 证 明 中 的 证 明 人 和 验证 者 ， 电 子 商 务 中 的 商家 、 银 行 和 客户 等 。 

(2) 攻击 者 

攻击 者 ( 敌 方 ) 就 是 协议 过 程 中 企图 破坏 协议 安全 性 和 正确 性 的 人 。 人 们 把 不 影响 协议 
执行 的 攻击 者 称 为 被 动 攻击 者 ， 他 们 仅仅 观察 协议 并 试图 获取 信息 。 还 有 一 类 攻击 者 是 主 
动 攻击 者 ， 他 们 改变 协议 ， 在 协议 中 引入 新 消息 、 修 改 消息 或 者 删除 消息 等 ， 达 到 欺骗 、 
获取 敏感 信息 、 破 坏 协 议 等 目的 。 

攻击 者 可 能 是 协议 的 合法 参与 者 ， 或 是 外 部 实体 ， 或 是 两 者 的 组 合体 ， 也 可 能 是 单个 
实体 ， 或 者 合谋 的 多 个 实体 。 攻 击 者 可 能 是 协议 参与 者 ， 他 可 能 在 协议 期 间 撒谎 ， 或 者 根 


A 


Q@_ 


本 不 遵守 协议 ， 这 类 攻击 者 被 称 作 骗 子 ， 由 于 是 系统 的 合法 用 户 ， 因 此 也 被 称 为 内 部 攻击 
者 。 攻 击 者 也 可 能 是 外 部 的 实体 ， 他 可 能 仅仅 窃听 以 获取 可 用 信息 ， 也 可 能 引入 假冒 的 消 
息 ， 这 类 攻击 者 称 为 外 部 攻击 者 。 

(3) 可 信 第 三 方 

可 信 第 三 方 (Trusted Third Party，TTP) 是 指 在 完成 协议 的 过 程 中 ， 值 得 信任 的 第 三 方 ， 
能 帮助 互 不 信任 的 双方 完成 协议 。 仲 裁 者 是 一 类 特殊 的 可 信 第 三 方 ， 用 于 解决 协议 执行 中 
出 现 的 纠纷 。 仲 裁 者 是 在 完成 协议 的 过 程 中 值得 信任 的 公正 的 第 三 方 ，“ 公 正 ” 就 意味 着 
仲裁 者 在 协议 中 没有 既得 利益 ， 对 参与 协议 的 任何 人 也 没有 特别 的 利害 关系 。“ 值 得 信任 ” 
表示 协议 中 的 所 有 人 都 接受 仲裁 的 结果 ， 即 仲裁 者 说 的 都 是 真实 的 ,他 做 的 仲裁 是 正确 的 ， 
并 且 他 将 完成 协议 中 涉及 他 的 部 分 。 其 他 可 信 第 三 方 还 有 密 钥 分 发 中 心 、 认 证 中 心 等 。 

为 了 帮助 说 明 协议 ， 通 常会 选 出 几 个 人 作为 助手 ，Alice 和 Bob 是 开始 的 两 个 人 。 他 们 
将 完成 所 有 的 两 人 协议 。 按 规定 ， 由 Alice 发 起 所 有 协议 ，Bob 响应 。 如 果 协 议 需 要 第 三 或 
第 四 人 ，Carol 和 Dave 将 扮演 这 些 角色 ， 由 其 他 人 扮演 的 专门 配角 。 有 具体 如 表 10-2 所 示 。 


表 10-2 剧 中 人 
Alice 所 有 协议 中 的 第 一 个 参加 者 
Bobl 所 有 协议 中 的 第 二 个 参加 者 
Carol 在 三 、 四 方 协议 中 的 参加 者 
Dave 在 四 方 协议 中 的 参加 者 
Eve 穷 听 者 
Mallol 恶意 的 主动 攻击 者 
Trent 值得 信赖 的 仲裁 者 
Walter 监察 人 : 在 有 些 协议 中 保护 Alice 和 Bob 
Pegey 证 明 人 
Victor 验证 者 


10.1.2 ”安全 协议 的 分 类 
1. 按照 游戏 角色 的 数量 进行 分 类 


根据 两 点 特质 一 一 认证 和 密 钥 交 换 首 先 将 协议 分 为 3 大 基本 类 ， 再 按照 参与 方 数量 ， 
分 为 两 方 安全 协议 和 多 方 安全 协议 两 大 类 ， 有 具体 如 表 10-3 ~ 10-5 所 示 。 


表 10-3 基本 安全 协议 


协议 名 称 


认证 协议 提供 给 一 个 参与 方 关于 其 通信 对 方 身份 的 一 定 确信 度 
密 钥 交换 协议 在 参与 协议 的 两 个 或 多 个 实体 之 间 建 立 共享 的 秘密 


认证 及 密 钥 交 换 协议 为 身份 已 经 被 确认 的 参与 方 建立 一 个 共享 秘密 
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表 10-4 两 方 安全 协议 


协议 名 称 协议 描述 
是 指 一 个 参与 方 希望 另 一 个 参与 方 相信 某 种 声称 的 正确 性 ， 同 时 不 泄露 任何 额外 的 
i pa 个 参与 方 希 望 另 一 个 参与 方 相信 某 种 声称 的 正确 性 ， 同 时 不 泄露 任何 额外 的 
承诺 协议 是 产生 保密 的 承诺 和 公开 秘密 ( 解 诺 ) 的 安全 协议 
ee 是 指 两 个 参与 方 试图 协商 一 位 或 多 位 比特 信息 ， 即 使 某 个 参与 方 试图 使 输出 趋 近 于 
某 一 个 值 时 ， 该 比特 信息 仍然 能 够 来 自 于 一 个 均匀 分 布 
趟 如意 信 答 “| 指 基 个 参与 方 传递 两 个 消息 ， 另 一 个 参与 方 提供 一 个 比特 信息 ， 协 议 结束 后 ， 消 息 
””” ”| 的 提供 者 不 知道 接收 者 获得 了 哪个 消息 ， 消 息 的 接收 者 不 知道 男 一 个 消息 的 内 容 
能 够 使 接收 者 鉴别 消息 的 来 源 ， 但 是 ， 接 收 者 不 能 向 第 三 方 证 明 消息 来 源 ， 接 收 者 
可 否认 认证 。 | 通过 “仿真 ”发 送 者 和 接收 者 之 问 的 消息 ， 实 现 可 否认 认证 。 签 名 认证 机 制 不 具有 
可 否认 性 
表 10-5 多 方 安全 协议 
协议 名 称 协议 描述 
基本 多 方 协议 。 | 如 秘密 共享 、 可 验证 秘密 共享 、 匿 名 处 理 、 多 方 Ping-Pong 协议 
电子 选举 根据 各 种 上 下 文 来 综合 考虑 协议 的 正确 性 、 公 正 性 、 私 密 性 和 可 否认 性 
解决 传输 过 程 中 的 公平 性 ， 以 某 种 可 接受 的 方式 来 处 理 争议 ， 还 包括 结果 的 公平 
电子 商务 
发 布 
4 | 多 个 数据 库 可 以 联合 起 来 进行 数据 查询 ， 除 查询 的 结果 外 ， 数 据 库 中 的 其 他 数据 
数据 库 交 喜光 | 将 保持 私有 状态 
匿名 信任 系统 。 | 参与 者 匿名 多 身份 问题 
路 由 协议 安全 路 由 协议 是 一 类 特殊 的 安全 多 方 计算 协议 


2.， 按照 是 否 需要 仲裁 方 进行 分 类 


根据 可 信 第 三 方 参与 协议 与 否 ， 可 将 安全 协议 分 为 3 类 : 仲裁 协议 、 裁 决 协议 及 自动 
执行 的 协议 。 三 种 协议 的 结构 类 型 如 图 10-2 所 示 。 

(1) 仲裁 协议 
仲裁 者 是 在 完成 协议 的 过 程 中 ， 值 得 信任 的 公正 的 第 三 方 (参见 图 10-2(a))， “公正 ” 
意味 着 仲裁 者 在 协议 中 没有 既得 利益 ， 对 参与 协议 的 任何 人 也 没有 特别 的 利害 关系 。“ 值 
得 信任 ”表示 协议 中 的 所 有 人 都 接受 这 一 事实 ， 即 仲裁 者 说 的 都 是 真实 的 ， 他 做 的 是 正确 
的 ， 并 且 他 将 完成 协议 中 涉及 他 的 部 分 。 仲 裁 者 能 帮助 互 不 信任 的 双方 完成 协议 。 

在 现实 社会 中 ， 律 师 经 常 作为 仲裁 者 ， 因 此 ， 就 需要 双方 都 信任 的 律师 。 在 律师 的 帮 
助 下 ，Alice 和 Bob 能 够 用 下 面 的 协议 保证 互 不 欺骗 。 

QD Alice 将 车 的 所 有 权 交 给 律师 。 

人 @ Bob 将 支票 交 给 Alice。 

@”Alice 在 银行 兑现 支票 。 


PF 
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图 10-2 协议 类 型 

@ 在 等 到 支票 鉴别 无 误 能 够 兑现 的 时 间 后 ， 律 师 将 车 的 所 有 权 交 给 Bob。 如 果 在 规 
定 的 时 间 内 支票 不 能 兑现 ，Alice 将 证 据 出 示 给 律师 ， 律 师 将 车 的 所 有 权 和 钥匙 还 给 Alice。 

在 这 个 协议 中 ，Alice 相信 律师 不 会 将 车 的 所 有 权 交 给 Bob， 除 非 支票 已 经 兑现 ， 如 果 
支票 不 能 兑现 ,律师 会 把 车 的 所 有 权 交 还 给 Alice。 而 Bob 相信 律师 有 车 的 所 有 权 ， 在 支票 
兑现 后 ,将 会 把 车 主权 和 钥匙 交 给 他 。 而 律师 并 不 关心 支票 是 否 兑现 ,不管 在 什么 情况 下 
他 只 做 那些 他 应 该 做 的 事 ， 因 为 不 管 是 哪 种 情况 ， 他 都 有 报酬 。 

在 这 个 例子 中 ， 律 师 起 着 担保 代理 作用 。 律 师 也 可 以 作为 遗嘱 和 合同 谈判 的 仲裁 人 ， 
还 可 以 作为 各 种 股票 交易 中 买方 和 卖方 之 间 的 仲裁 人 。 

银行 也 使 用 仲裁 协议 。Bob 能 够 用 保 付 支票 从 Alice 手中 购买 汽车 ， 如 下 。 

@@ ”Bob 开 一 张 支票 并 交 到 银行 。 

@ 在 验 明 Bob 的 钱 足以 支付 支票 上 的 数目 后 ， 银 行将 保 付 支票 交 与 Bob。 

图 Alice 将 车 的 所 有 权 交 给 Bob，Bob 将 保 付 支票 交 给 Alice。 

由 Alice 兑现 支票 。 

这 个 协议 也 是 有 效 的 ， 因 为 Alice 相信 和 银行 的 证 明 。Alice 相信 银行 保存 有 Bob 的 钱 给 
她 ， 不 会 将 她 的 钱 用 于 其 他 业务 。 

公证 人 是 另 一 种 仲裁 人 ， 当 Bob 从 Alice 接收 到 已 公证 的 文件 时 , 他 相信 Alice 签署 的 
文件 是 她 自己 亲自 签署 的 。 如 果 有 必要 ， 公 证 人 可 出 庭 证 实 这 个 事实 。 

这 种 思想 可 以 转化 到 计算 机 世界 中 ， 但 计算 机 仲裁 者 有 下 面 几 个 问题 。 
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@ 真实 性 : 如 果 你 知道 对 方 是 谁 ， 并 能 见 到 他 的 面 ， 就 很 容易 找到 和 相信 中 立 的 第 
三 方 。 互 相 怀疑 的 双方 很 可 能 也 怀疑 在 网 络 别 的 什么 地 方 并 不 露面 的 仲裁 者 。 

@ 费用: 计算 机 网 络 必须 负担 仲裁 者 的 费用 。 就 像 我 们 知道 的 律师 费用 ， 谁 想 负 担 
那 种 网 络 费用 呢 ! 

@ 分布 延 迟 性 : 在 任何 仲裁 协议 中 都 有 延迟 的 特性 。 

@ 单 点 失效 : 仲裁 者 必须 处 理 每 一 笔 交 易 。 任 何 一 个 协议 在 大 范围 执行 时 ， 仲 裁 者 
是 潜在 的 瓶颈 。 增 加 仲裁 者 的 数目 能 缓解 这 个 问题 ， 但 费用 将 会 增加 。 

@ 单 点 安全 : 由 于 在 网 络 中 ， 每 人 都 必须 相信 仲裁 者 ， 对 试图 破坏 网 络 的 人 来 说 ， 

仲裁 者 便 是 一 个 易 受 攻击 的 弱点 。 

尽管 如 此 ， 仲 裁 者 仍 扮 演 一 个 角色 。 在 使 用 可 信任 的 仲裁 协议 中 ， 这 个 角色 将 由 Trent 
来 扮演 。 

(2) 裁决 协议 

由 于 雇用 仲裁 者 代价 高 晶 ， 仲 裁 协 议 可 以 分 成 两 个 低级 的 子 协 议 。 

一 个 是 非 仲裁 子 协议 ， 这 个 子 协议 是 想 要 完成 协议 的 各 方 每 次 都 必须 执行 的 ， 另 一 个 
是 仲裁 子 协议 ， 仅 在 例外 的 情况 下 执行 ， 即 有 争议 的 时 候 才 执行 ， 这 种 特殊 的 仲裁 者 叫 作 
裁决 人 (参见 图 10-2(b))。 

裁决 人 也 是 公正 的 和 可 信 的 第 三 方 。 他 不 像 仲裁 者 ， 并 不 直接 参与 每 一 个 协议 。 只 有 
为 了 要 确定 协议 是 否 被 公平 地 执行 ， 才 将 他 请 来 。 

法 官 是 职业 的 裁决 者 。 法 官 不 像 公证 人 ， 仅 仅 在 有 争议 时 才 需 要 他 出 场 ，Alice 和 Bob 
可 以 在 没有 法 官 的 情况 下 订立 合同 。 除 非 他 们 中 有 一 个 人 把 另 一 人 拖 到 法 院 ， 否 则 法 官 决 
不 会 看 到 合同 。 

合同 一 一 签字 协议 可 以 归纳 为 下 面 的 形式 。 

非 仲裁 子 协议 (每 次 都 执行 ): 
Alice 和 Bob 谈判 合同 的 条 款 。 
Alice 签署 合同 。 

Bob 签署 合同 。 

裁决 子 协议 ( 仅 在 有 争议 时 执行 ): 
Alice 和 Bob 出 现在 法 官 面前 。 
Alice 提出 她 的 证 据 。 

Bob 也 提出 他 的 证 据 。 

法 官 根据 证 据 裁 决 。 

裁决 者 和 仲裁 之 间 的 不 同 ， 是 裁决 者 并 不 总 是 必需 的 。 如 果 有 争议 ， 法 官 被 请 来 裁决 。 
如 果 没有 争议 ， 就 没有 必要 请 法 官 。 

已 经 存在 计算 机 裁决 协议 。 

这 些 协 议 依 赖 于 与 协议 有 关 的 各 方 都 是 诚实 的 ， 如 果 有 人 怀疑 欺骗 时 ， 一 个 中 立 的 第 
三 方 能 够 根据 存在 的 数据 正文 文本 ， 判 断 是 否 有 人 在 欺骗 。 在 好 的 裁决 协议 中 ， 裁 决 者 还 
能 确定 欺骗 人 的 身份 。 裁 决 协议 是 为 了 发 现 欺骗 ， 而 不 是 为 了 阻止 欺骗 。 发 现 欺骗 是 起 了 
防止 和 阻碍 欺骗 的 作用 。 
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起 G) 自动 执行 的 协议 

机 自动 执行 的 协议 是 协议 中 最 好 的 。 协 议 本 身 就 保证 了 公平 性 (参看 图 10-2(c))， 不 需要 
草 | 仲裁 者 来 完成 协议 ， 也 不 需要 裁决 者 来 解决 争端 。 协 议 的 构成 本 身 不 可 能 发 生 任何 争端 。 
安 | 如 果 协 议 中 的 一 方 试图 欺骗， 其 他 各 方 马上 就 能 发 觉 ， 并 且 停止 执行 协议 ， 无 论 其 骗 方 想 
完 。 通 过 网 骗 来 得 到 什么 ， 他 都 不 能 如 愿 以 偿 。 最 好 让 每 个 协议 都 能 自动 执行 。 踪 慷 的 是 ， 在 


登 


所 有 情形 下 ， 没 有 一 个 是 自动 执行 的 协议 。 

3. 其 他 方法 

根据 OSI 的 七 层 参考 模型 ， 又 可 以 将 安全 协议 分 成 高 层 协议 和 低层 协议 。 

按照 安全 协议 中 采用 的 密 钥 算法 的 种 类 ， 又 可 以 分 为 双 钥 (或 公 钥 ) 协 议 、 单 钥 (或 私 钥 ) 
协议 或 混合 协议 等 。 

依据 安全 协议 的 应 用 环境 ， 又 可 以 分 为 互联 网 中 的 安全 协议 、 卫 星 通信 网 络 中 的 安全 
协议 、 无 线 传 感 网 络 中 的 安全 协议 、RFID 系统 中 的 安全 协议 等 。 

对 于 参与 实体 间 拥 有 预 共享 长 期 密 钥 的 安全 协议 ， 根 据 长 期 密 钥 的 安全 强度 ， 又 可 以 
分 为 基于 口令 的 安全 协议 和 一 般 的 预 共享 密 钥 安 全 协议 。 

除 此 之 外 ， 还 可 以 从 其 他 角度 出 发 ， 对 安全 协议 进行 分 类 。 


10.1.3 安全 协议 的 目标 与 设计 原则 
1. 安全 协议 的 目标 
安全 协议 的 主要 研究 目标 如 表 10-6 所 示 。 


表 10-6 安全 协议 的 目标 


性 质 描 述 
正确 性 满足 规则 : 对 于 合理 的 输入 ， 给 出 合理 的 输出 
安全 性 抵制 攻击 : 对 于 不 合理 的 输入 ， 输 出 不 会 造成 某 种 程度 的 损害 
完整 性 保证 信息 无 法 修改 : 认证 、 非 否认 、 可 审计 等 
秘密 性 保证 信息 无 泄漏 : 加 密 、 隐 私 、 匿 名 、 假 名 等 
可 用 性 保证 合法 用 户 的 信息 使 用 
匿名 性 隐藏 参与 方 的 身份 
公平 性 保证 参与 者 在 协议 中 具有 公平 的 地 位 


可 否认 性 消息 的 接收 方 能 够 辨别 出 发 送 方 的 身份 ， 但 是 ， 不 能 向 第 三 方 证 明 发 送 方 身份 
不 可 否认 保证 参与 方 对 所 做 的 行为 负责 


2. 安全 协议 的 设计 原则 


不 同类 型 的 安全 协议 的 设计 原则 也 不 尽 相 同 , 表 10-7 汇总 了 所 有 安全 协议 设计 中 的 一 
些 共同 属性 ， 但 在 设计 某 一 具体 的 安全 协议 时 ， 还 要 依据 具体 情况 制定 设计 原则 。 
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表 10-7 安全 协议 的 设计 原则 


(1) 设计 目标 明确 ， 无 二 义 性 

(2 尽量 采用 最 少 的 安全 假设 

G) 应 用 描述 协议 的 形式 语言 

(4) 使 用 规范 的 证 明 流程 与 分 析 方 法 

(1) 适用 于 任何 网 络 结构 的 任何 协议 层 (消息 要 尽 可 能 地 短 ) 

(2) 适用 于 任何 数据 处 理 能 力 (消息 要 尽 可 能 地 简单 ) 

扩展 性 (3) 可 采用 任何 密码 算法 (必须 采用 任何 已 知 的 和 具有 代表 性 的 密码 算法 ) 

(4) 安全 性 与 具体 采用 的 算法 无 关 

(5) 便于 进行 功能 扩充 ， 特 别 是 在 方案 上 ， 应 该 能 够 支持 多 用 户 之 间 的 秘密 共享 
(1) 采用 一 次 性 随机 数 来 蔡 代 时 戳 ， 即 用 异步 认证 方式 来 蔡 代 同步 认证 方式 ， 同 
时 也 保证 了 新 鲜 性 

安全 性 & 高 效 性 ”| (2) 具有 抵御 常见 攻击 的 能 力 。 特 别 是 重 放 攻击 

(3) 通常 针对 不 同 的 环境 而 采取 不 同 的 设计 方法 ， 在 安全 性 与 效率 之 间 达 到 一 种 
平衡 


整体 性 


10.1.4 安全 协议 的 缺陷 

虽然 协议 设计 者 尽 可 能 在 协议 设计 时 回避 可 能 出 现 的 人 为 错误 ， 但 是 ， 安 全 协议 在 实 
际 应 用 时 ， 仍 会 出 现 各 种 类 型 的 缺陷 。 产 生 缺 陷 的 原因 是 十 分 复杂 的 ， 很 难 有 一 种 通用 的 
方法 将 安全 协议 的 安全 缺陷 进行 分 类 。 这 里 仅 依据 安全 协议 缺陷 产生 的 原因 和 相应 的 攻击 
方法 ， 对 安全 协议 的 缺陷 进行 分 类 。 

1.， 基本 协议 缺陷 


基本 安全 协议 缺陷 是 指 在 安全 协议 的 设计 中 没有 或 很 少 防范 攻击 者 而 引发 的 协议 缺 
陷 。 例 如 ， 对 加 密 的 消息 签名 ， 由 于 签名 者 并 不 一 定 知 道 被 加 密 的 消息 内 容 ， 而 且 签名 者 
的 公 钥 是 公开 的 ， 从 而 可 使 攻击 者 通过 用 他 自己 的 签名 来 蔡 换 原来 的 签名 ， 伪 装 成 发 送 者 。 


2. 并 行 会 话 缺 陷 

当 多 个 协议 实例 同时 执行 时 ， 如 果 协 议 对 并 行 会 话 攻击 缺少 防范 ， 会 导致 攻击 者 通过 
交换 适当 的 协议 消息 获得 所 需要 的 信息 。 

3.， 口令 / 密 钥 猜 测 缺陷 


这 类 缺陷 产生 的 原因 ， 是 用 户 往往 从 一 些 常用 的 词 中 选择 口令 ， 从 而 导致 攻击 者 能 够 
进行 口令 猜测 攻击 ;或 者 选取 了 不 安全 的 伪 随 机 数 生成 算法 构成 密 钥 ， 使 攻击 者 能 够 恢复 
该 密 钥 。 口 令 猜 测 攻击 可 分 为 可 检测 的 在 线 口 令 猜 测 攻击 、 不 可 检测 的 在 线 口令 猜测 攻击 
和 离线 的 口令 猜测 攻击 。 

(1) 可 检测 的 在 线 口令 猜测 攻击 : 每 次 不 成 功 的 登录 是 可 以 被 认证 服务 器 记录 的 。 一 
个 特定 次 数 之 后 ， 认 证 服务 器 将 终止 该 用 户 的 登录 。 

(2) 不 可 检测 的 在 线 口 令 猜 测 攻 击 : 如 果 猜 测 是 不 正确 的 ， 那 么 处 理 将 中 止 ， 下 一 次 
的 猜测 将 在 一 个 新 事务 中 进行 。 失 败 不 被 觉察 ， 且 不 被 认证 服务 器 记录 。 

(3) 离线 的 口令 猜测 攻击 : 攻击 者 使 用 从 认证 协议 中 获取 的 消息 ， 猜 测 口令 并 离线 验 
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Q@_ 


证 ， 如 字典 攻击 等 。 
4.， 陈旧 消息 缺陷 


陈旧 消息 缺陷 是 指 协议 设计 中 ， 对 消息 的 新 鲜 性 没有 充分 考虑 ， 从 而 使 攻击 者 能 够 进 
行 消 息 重 放 攻 击 。 


5. 内 部 协议 缺陷 


协议 的 可 达 性 存在 问题 ， 协 议 的 参与 者 中 ， 至 少 有 一 方 不 能 完成 所 有 必需 的 动作 而 导 
致 的 缺陷 。 


6. 密码 系统 缺陷 


协议 中 使 用 的 密码 算法 导致 协议 不 能 提供 完全 满足 所 要 求 的 机 密 性 、 认 证 性 等 需求 而 
产生 的 缺陷 。 


10.1.5 ”对 安全 协议 的 攻击 


1983 年 ，Dolev 和 Yao( 姚 期 智 ) 发 表 了 安全 协议 发 展 史上 一 篇 重要 的 论文 。 该 论文 的 主 
要 贡献 有 两 点 。 

第 一 点 贡献 是 :将 安全 协议 本 身 与 安全 协议 采用 的 密码 系统 分 开 , 在 假定 密码 系统 是 “ 完 
善 ” 的 基础 上 ， 讨 论 安 全 协议 本 身 的 正确 性 、 安 全 性 、 宛 余 性 等 问题 。 此 后 ， 学 者 们 可 以 专 
心 研究 安全 协议 的 内 在 安全 性 质 了 。 即 问题 很 清楚 地 被 划分 为 两 个 不 同 的 层次 : 首先 研究 安 
全 协议 本 身 的 安全 性 质 ， 然 后 讨论 实现 层次 的 具体 细节 ， 包 括 所 采用 的 具体 密码 算法 等 。 

第 二 点 贡献 是 : Dolev 和 Yao 建立 了 攻击 者 模型 。 他 们 认为 ， 攻 击 者 的 知识 和 能 力 不 
能 够 被 低估 ， 攻 击 者 可 以 控制 整个 通信 和 网络 。 和 仔细 衡量 ， 攻 击 者 应 具有 如 下 能 力 : @ 可 以 
窃听 所 有 经 过 网 络 的 消息 ，@ 可 以 阻止 和 截获 所 有 经 过 网 络 的 消息 ，@ 可 以 存储 所 获得 或 
自身 创造 的 消息 ，@ 可 以 根据 存储 的 消息 伪造 消息 ， 并 发 送 该 消息 ，@ 可 以 作为 合法 的 主 
体 参 与 协议 的 运行 。 

对 协议 的 攻击 多 种 多 样 ， 层 出 不 穷 。 对 不 同类 型 的 安全 协议 ， 存 在 着 不 同 的 攻击 ， 而 
且 新 的 攻击 方法 也 在 不 断 产生 。 另 外 ， 对 安全 协议 施加 各 种 可 能 的 攻击 来 测试 其 安全 性 也 
是 常用 的 手段 之 一 。 一 些 典型 的 攻击 如 表 10-8 所 示 。 


表 10-8 协议 攻击 手段 


攻击 类 型 描述 

算 改 f 者 获取 协议 运行 中 所 传输 的 消息 

重 放 f 者 记录 已 经 获取 的 消息 ， 并 在 随后 的 协议 运行 中 发 送 给 相同 的 或 不 同 的 接收 者 
预 重 放 fi 者 在 合法 用 户 运行 协议 之 前 参与 一 次 协议 的 运行 

反射 f 者 将 消息 发 回 给 消息 的 发 送 者 

拒绝 服务 者 阻止 合法 用 户 完成 协议 

类 型 攻击 凸 者 将 协议 运行 中 某 一 类 消息 域 苦 换 成 其 他 的 消息 域 

密码 分 析 f 者 利用 在 协议 运行 中 所 获取 的 消息 进行 分 析 ， 以 获取 有 用 的 信息 
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续 表 


攻击 类 型 
证 书 操纵 
协议 交互 


描 述 
攻击 者 选择 或 更 改 证 书信 息 ， 来 攻击 协议 的 运行 
攻击 者 选择 新 的 协议 和 已 知 协议 交互 产生 新 的 漏洞 


10.2 基本 安全 协议 


基本 安全 协议 是 构造 复杂 安全 协议 的 基石 ， 是 网 络 安全 的 一 个 重要 组 成 部 分 。 由 于 篇 
幅 有 限 ， 本 节 将 重点 介绍 秘密 分 割 、 秘 密 共 享 、 阔 下 信道 、 比 特 承 诺 、 公 平 硬币 的 抛 投 、 
不 经 意 传 输 等 内 容 。 


10.2.1 秘密 分 割 


秘密 分 割 就 是 指 把 一 个 消息 分 成 n 块 ， 单 独 的 每 一 块 看 起 来 没有 意义 ， 但 所 有 的 块 集 
合 起 来 ， 能 恢复 出 原 消息 。 例 如 ， 一 个 商店 的 保险 可 能 要 求 同 时 用 经 理 的 钥匙 和 运 钞 车 司 
机 的 钥匙 才能 够 打开 。 这 样 ， 既 可 以 避免 不 诚实 的 经 理 人 或 运 钞 车 司机 偷窃 钱财 ， 也 可 以 
防止 歹徒 威胁 手无寸铁 的 经 理 打开 保险 箱 。 

在 两 个 人 之 间 分 割 某 一 消息 是 最 简单 的 共享 问题 。 例 如 ，Trent 把 一 消息 分 割 给 Alice 
和 Bob， 有 具体 分 割 细节 如 下 。 

(D Trent 产生 一 随机 比特 串 R， 与 消息 M 一 样 长 。 

(2) Trent 用 R 异 或 M， 得 到 S$S: M@R=S。 

(3) Trent 把 R 给 Alice， 将 5S 给 Bob。 

为 了 重 构 此 消息 ，Alice 和 Bob 只 需 一 起 完成 下 面 这 一 步 。 

(4) Alice 和 Bob 将 他 们 的 消息 异 或 ， 就 可 得 到 此 消息 : R@S=M 。 

实际 上 ，Trent 是 用 一 次 一 密 乱 码 本 加 密 消息 ， 并 将 密 文 给 一 人 ， 乱 码 本 给 一 人 。 一 次 
一 密 乱码 本 具有 完善 的 保密 性 ， 无 论 有 多 大 计算 能 力 ， 都 不 能 依据 消息 碎片 之 一 就 确定 出 
此 消息 来 。 两 方 秘密 分 割 方案 可 以 很 容易 扩展 到 多 人 系统 。 就 如 同 我 们 经 常 所 看 过 的 一 些 
经 典 武侠 剧 ， 一 个 地 方 的 宝藏 可 能 需要 多 个 人 都 持 有 某 一 “钥匙 ”才能 开启 。 

秘密 分 割 协议 存在 一 个 问题 : 如 果 任 何 一 部 分 丢失 了 ， 并 且 Trent 又 不 在 ， 就 等 于 将 
消息 弄 丢 了 。 如 果 Carol 有 消息 的 一 部 分 ， 他 离开 了 ， 并 带 走 了 他 的 那 一 部 分 ， 那 么 ， 这 
个 消息 将 无 法 复原 。 


10.2.2 ”秘密 共享 


秘密 共享 是 一 种 将 秘密 分 割 存储 的 密码 技术 ， 目 的 是 阻止 秘密 过 于 集中 ， 以 实现 分 散 
风险 和 容忍 入 侵 的 目的 ， 是 信息 安全 和 数据 保密 中 的 重要 手段 。 其 主要 思想 是 将 秘密 以 适 
当 的 方式 拆 分 ， 拆 分 后 的 每 一 个 份额 由 不 同 的 参与 者 管理 ,单个 参与 者 无 法 恢复 秘密 信息 ， 
只 有 若干 个 参与 者 一 同 协作 ， 才 能 恢复 秘密 消息 。 例 如 ， 某 一 存储 系统 中 的 秘密 系统 中 的 
秘密 信息 的 安全 性 取决 于 一 个 主 密 钥 ， 那 么 其 存在 两 个 明显 的 缺陷 : 一 是 若 主 密 钥 偶然 或 


A 


有 意 地 被 泄露 ， 系 统 中 的 秘密 信息 就 会 遭受 攻击 ;二 是 若 主 密 钥 丢失 或 损坏 ， 系 统 中 的 秘 
密 信息 就 无 法 恢复 。 另 外 ， 对 于 一 个 团体 来 说 ， 如 果 所 有 的 重要 文档 都 由 一 个 人 签署 决定 ， 
势必 会 造成 权力 过 于 集中 ， 也 要 求 对 密 钥 进行 分 散 管理 。 秘 密 共享 为 密 钥 管理 提供 了 一 个 
有 效 的 途径 ， 其 关键 是 怎样 更 好 地 设计 秘密 拆 分 方式 和 恢复 方式 。 

在 秘密 共享 方案 中 ， 最 常见 的 就 是 门限 方案 。 门 限 方案 是 实现 门限 访问 结构 的 秘密 共 
享 方案 ,在 一 个 (m,n) 门限 方案 中 ，m 为 门限 值 ， 秘 密 SK 被 拆 分 为 份 共享 秘密 ， 利 用 任 
意 m(2<m<n) 个 或 更 多 个 共享 份额 ， 就 可 以 恢复 秘密 SK， 而 用 任何 m1 或 更 少 的 共享 份 
额 ， 或 暴露 一 个 份额 或 多 到 m 一 1 个 份额 ， 都 不 会 危及 密 钥 ， 且 少 于 m 一 1 个 用 户 不 可 能 共 
谋 得 到 密 钥 ， 同时 ， 若 一 个 份额 被 丢失 或 损坏 ,还 可 以 恢复 密 钥 ( 只 要 至 少 有 m 个 有 效 的 共 
享 份额 即 可 )。 如 图 10-3 所 示 即 是 (3，5) 门 限 秘密 共享 方案 。 


10-3 (3，5) 门 限 秘密 共享 方案 


例如 ， 假 设 Coca-Cola 公司 的 董事 会 想 保护 可 乐 的 配方 。 该 公司 总 裁 应 该 能 够 在 需要 
时 拿 到 配方 ， 但 在 紧急 的 情况 下 ，12 位 董事 会 成 员 中 的 任意 3 位 就 可 以 揭 开 配方 。 这 可 以 
通过 一 个 秘密 共享 方案 来 实现 ， 其 中 m=3, n=15， 则 3 股 给 总 裁 ， 剩 余 12 股 分 给 每 位 董事 
会 成 员 ， 每 位 成 员 1 股 。 很 显然 ， 在 紧急 关头 ， 总 裁 单 个 人 就 能 拿 到 配方 。 如 果 遇 到 总 裁 
不 在 ， 需 要 紧急 处 理 时 候 ， 若 超过 3 位 董事 会 成 员 同意 ， 也 可 以 拿 到 配方 。 

比较 典型 的 门限 方案 构造 方法 有 拉 格 朗 日 插值 多 项 式 方案 、Shamir 门限 方案 、 基 于 中 
国 剩余 定理 的 门限 方案 、 向 量 方案 等 。 由 于 其 中 的 理论 涉及 初等 数论 和 代数 的 有 关 知 识 ， 
这 里 就 不 再 详细 袭 述 ， 有 兴趣 的 读者 可 自行 查阅 资料 来 了 解 。 


10.2.3” 阅 下 信道 
1. 阔 下 信道 的 基本 概念 


阔 下 信道 是 指 在 基于 公 钥 密码 技术 的 数字 签名 、 认 证 等 应 用 密码 体制 的 输出 密码 数据 
中 建立 起 来 的 一 种 隐蔽 信道 ， 除 指定 的 接收 者 外 ， 任 何其 他 人 均 不 知道 密码 数据 中 是 否 
阔 下 消息 存在 。 它 是 一 种 典型 的 现代 信息 隐藏 技术 ， 有 着 广阔 的 应 用 前 景 。 
首先 举 一 个 “囚犯 问题 ”的 例子 。 假 设 Alice 和 Bob 被 捕 入 狱 ，Bob 被 关 在 男 牢房 ， 
而 Alice 被 关 在 女 牢 房 。 看 守 Walter 愿意 让 他 们 交换 信件 (消息 ), 但 不 允许 他 们 加 密 。 但 同 
时 ，Walter 意识 到 这 样 他 们 会 商讨 一 个 逃跑 计划 ， 所 以 他 必须 阅读 他 们 之 间 的 信件 。 
Walter 也 希望 欺骗 他 们 ， 他 想 让 他 们 中 的 一 个 将 一 份 欺诈 的 消息 当 作 来 自 另 一 个 人 的 


A 
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真实 消息 。 但 Alice 和 Bob 愿意 冒 这 种 其 诈 的 危险 ， 否 则 他 们 就 无 法 通信 了 ， 并 且 他 们 必 
须 商 讨 他 们 的 逃跑 计划 。 为 了 完成 这 件 事情 ， 他 们 肯定 要 欺骗 看 守 ， 并 找 出 一 个 秘密 通信 
的 方法 ， 他 们 必须 建立 一 个 阔 下 信道 ， 即 完全 在 Walter 视野 内 的 他 们 之 间 的 一 个 秘密 通信 
信道 ， 即 使 消息 本 身 并 不 包含 秘密 信息 。 通 过 交换 无 害 的 签名 消息 ， 他 们 可 以 互相 传送 秘 
密 消 息 ， 并 骗 过 Walter， 即 使 Walter 始终 监视 着 所 有 的 通信 。 

一 个 简单 的 阔 下 信道 可 以 是 句子 中 单词 的 数目 ， 句 子 中 奇数 个 单词 对 应 “1”， 而 偶数 
个 单词 对 应 “0”。 因 此 ， 当 读 这 种 仿佛 无 关 紧 要 的 句子 时 ， 已 经 将 信息 “1010” 传 递 给 了 
自己 的 人 员 。 不 过 ， 这 个 例子 的 问题 在 于 它 没有 密 钥 ， 安 全 性 完全 依赖 于 算法 的 保密 性 。 

Gustavus Simmons 发 明了 传统 数字 签名 算法 中 阔 下 信道 的 概念 。 由 于 阔 下 信道 隐藏 在 
看 似 正 常 的 数字 签名 的 文本 中 ， 所 以 这 是 一 种 迷惑 人 的 信息 传递 。 事 实 上 ， 阔 下 信道 签名 
算法 与 通常 的 签名 算法 区 别 不 开 , 至 少 对 Walter 是 这 样 。 Walter 不 仅 读 不 出 阔 下 信道 消息 ， 
而 且 他 也 不 知道 阀 下 信道 已 经 出 现 。 

一 般 情况 下 ， 使 用 阔 下 信道 的 基本 过 程 如 下 (如 图 10-4 所 示 )。 


[ae] 


无 害 信息 DD 
一 一 一 一 | 


疗 下 消息 MM 


图 10-4 ”使 用 阅 下 信道 的 基本 过 程 


(1) Alice 随机 产生 一 个 无 害 消息 。 

(2) Alice 对 于 这 个 无 害 消息 签名 ,她 在 签名 中 隐藏 她 的 闪 下 信息 (该 阐 下 信息 用 于 Bob 
共享 的 秘密 密 钥 保护 )。 

(3) Alice 通过 Walter 发 送 签 名 消息 给 Bob。 

(4) Walter 读 这 份 无 害 的 消息 并 检查 签名 ， 没 有 发 现 什么 问题 ， 他 将 这 份 签 了 名 的 消 
息 传 递 给 Bob。 

(5) Bob 检查 这 份 无 害 消 息 的 签名 ， 确 认 消 息 来 自 于 Alice。 

(6) Bob 忽视 无 害 的 消息 ， 而 是 用 他 与 Alice 共享 的 秘密 密 钥 ， 提 取出 阔 下 消息 。 

利用 这 个 协议 可 以 进行 欺骗 。Walter 不 相信 任何 人 ， 别 的 人 也 不 相信 他 ， 他 可 以 阻止 
通信 ， 但 是 没 法 构造 虚假 信息 。 由 于 他 没 法 产生 任何 有 效 的 签名 ，Bob 将 在 第 (5) 步 中 检测 
出 他 的 意图 ， 此 外 ， 由 于 他 不 知道 共享 密 铀 ， 他 就 没 法 阅读 阀 下 信息 ， 也 不 知道 准 下 信息 
在 哪里 。 用 数字 签名 算法 签名 后 的 消息 与 在 签名 中 嵌入 到 签名 中 的 阀 下 消息 看 上 去 没 什 
么 不 同 。 

2. 基于 RSA 数字 签名 的 阅 下 信道 方案 


许多 数字 签名 方案 中 都 使 用 随机 数 。 在 这 些 数 字 签 名 中 ， 签 名 者 选择 一 个 随机 数 ， 并 
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咎 | 通过 单 向 函数 生成 一 个 新 的 随机 数 ， 用 于 数字 签名 中 。 那 么 ， 在 不 使 用 随机 数 的 数字 签名 
机 | 方案 中 是 否 存在 阅 下 信道 呢 ? 显然， 答案 是 肯定 的 。 比 如 ， 武 传 坤 提出 了 基于 RSA 数字 签 
蓝 | 名 的 阅 下 信道 方案 ， 其 具体 过 程 如 下 。 

车 。 。 参数 设置 。 等 名 者 随机 这 取 丙 个 大 素数 和 q( 保 沁 )， 计 算 公开 的 模 站 r= pg (人 
臣 


开 )， 计 算 秘密 的 欧 拉 函 数 g(r)=(p 一 D(q 一]) (保密 )。 随 机 选取 整数 e ， 满 足 
而 gcd (e,g(7))=1( 公 开 e， 验 证 密 钥 )。 计 算 4， 满 足 de=1mod 9(7) (签名 密 钥 )。 

@ 签名: 待 签名 消息 为 x， 计 算 y= 五 (x)” modr ， 把 x||y 发 送 给 验证 者 。 

@ 验证: 检查 y = 万 (x)modr 是 否 成 立 ， 从 五 (x) 中 恢复 阔 下 信息 。 

选择 x 的 不 同 表达 方式 ， 可 以 使 得 五 (x) 中 某 些 位 为 阔 下 信息 。 

阔 下 信道 的 最 显 见 的 应 用 是 在 间 恋 网 中 。 如 果 每 人 都 收发 签名 消息 ， 间 谍 在 签名 文件 
中 发 送 阔 下 信道 信息 就 不 会 被 注意 到 。 当 然 ， 敌 方 的 间谍 也 可 以 做 同样 的 事情 。 

使 用 阔 下 信道 ，Alice 可 以 在 受到 威胁 时 安全 地 对 文件 签名 。 她 可 以 在 签名 文件 时 嵌入 
阔 下 信息 ， 说 “我 被 威胁 ”。 

其 他 方面 的 应 用 则 更 微妙 ， 公 司 可 以 签名 文件 ， 嵌 入 阔 下 信息 ， 人 允许 它们 在 文档 的 整 
个 有 效 期 内 被 跟踪 。 政 府 可 以 “标记 ”数字 货币 。 恶 意 的 签名 程序 可 能 泄露 其 签名 的 秘密 

然而 ， 有 的 时 候 ， 人 们 需要 杜绝 阔 下 签名 。Alice 和 Bob 互相 发 送 签名 消息 ， 协 商 合同 
的 条 款 ， 他 们 使 用 数字 签名 协议 ， 但 是 ， 这 个 合同 谈判 是 用 来 掩护 Alice 和 Bob 间谍 活动 
的 。 当 他 们 使 用 数字 签名 算法 时 ， 他 们 不 关心 所 签名 的 消息 。 他 们 会 利用 签名 中 的 阔 下 信 
道 彼此 传递 秘密 信息 。 由 于 反 间 谍 机 构 不 知道 合同 谈判 以 及 签名 消息 的 应 用 只 是 表面 现象 ， 
因此 ， 人 们 创立 了 杜绝 阔 下 的 签名 方案 。 


10.2.4 ”比特 承诺 


比特 承诺 (Bit Commitment，BC) 是 密码 学 中 的 重要 基础 协议 ， 其 概念 最 早 由 1995 年 图 
灵 奖 得 主 Manuel Blum 提出 。 

比特 承诺 方案 可 用 于 构建 零 知识 证 明 、 可 验证 秘密 分 享 、 硬 币 抛 投 等 协议 ， 同 时 ， 与 
密 钥 传送 一 起 ， 构 成 安全 双方 计算 的 基础 ， 是 信息 安全 领域 研究 的 热点 。 此 后 ， 已 经 有 很 
多 的 承诺 方案 被 先后 提出 来 。 

比特 承诺 的 基本 思想 如 下 : 承诺 者 Alice 向 接收 者 Bob 承诺 一 个 消息 ， 承 诺 过 程 要 求 ， 
Alice 向 Bob 承诺 时 ，Bob 不 可 能 获得 关于 被 承诺 消息 的 任何 信息 ; 经 过 一 段 时 间 后 ，Alice 
能 够 向 Bob 证 实 她 所 承诺 的 消息 ， 但 是 ，Alice 无 法 欺骗 Bob。 

经 典 环 境 中 关于 比特 承诺 的 一 个 形象 的 例子 是 : Alice 将 待 承 诺 的 比特 或 秘密 写 在 一 张 
纸 上 ， 然 后 将 这 张 纸 锁 进 一 个 保险 箱 ， 该 保险 箱 只 有 唯一 的 钥匙 可 以 打开 。 在 承诺 阶段 ， 
Alice 将 保险 箱 送 给 Bob， 但 是 保留 钥匙 ， 到 了 揭示 阶段 ，Alice 将 比特 或 秘密 告诉 Bob， 
同时 将 钥匙 传 给 Bob， 使 其 相信 自己 的 承诺 。 

一 个 比特 承诺 方案 必须 具备 下 列 性 质 。 

@ ”正确 性 : 如 果 Alice 和 Bob 均 诚 实地 执行 协议 ， 那 么 ， 在 揭示 阶段 Bob 将 正确 获 

得 Alice 所 承诺 的 比特 或 秘密 。 
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@ 保密 性 : 在 承诺 阶段 ，Bob 不 能 获知 Alice 所 承诺 比特 或 秘密 的 任何 信息 。 
e@ ”约束 性 : Alice 不 能 改变 箱子 中 的 承诺 比特 或 秘密 。 


1. 使 用 对 称 密码 算法 的 比特 承诺 方案 


这 个 比特 承诺 协议 使 用 对 称 密码 ， 具 体 方案 如 下 。 

(1) Alice， 或 Alice 与 Bob 共同 选 定 一 个 对 称 密码 算法 E。 

(2) Bob 产生 一 个 随机 比特 串 R， 并 把 它 发 送 给 Alice。 

Alice 首先 生成 一 个 由 她 想 承 诺 的 比特 b， 然 后 利用 某 个 对 称 加 密 算法 E.( 下 标 k 是 
Alice 随机 选 定 的 一 个 加 密 密 钥 ), 对 (R,5) 进行 加 密 运 算 , 得 出 E,(R,b) 的 值 , 将 其 发 给 Bob。 

当 需 要 Alice 揭示 她 的 比特 承诺 时 ， 继 续 如 下 操作 。 

(3) Alice 将 密 钥 大 及 六 发 送 给 Bob。 

(4) Bob 利用 密 钥 大 解密 C ， 并 利用 他 的 随机 串 尺 检验 比特 总 的 有 效 性 。 


2. 使 用 单 向 函数 的 比特 承诺 方案 


本 协议 使 用 单 向 函数 ， 具 体 方案 如 下 。 

(1) Alice， 或 Alice 与 Bob 共同 选 定 一 个 单 向 函数 hh 。 

(2) Alice 随机 产生 两 个 比特 串 : Ri 与 R。 

(3) Alice 选 定 她 要 承诺 的 比特 5 (可 能 是 一 个 比特 或 一 个 比特 串 )。 

(4) Alice 计算 单 向 函数 值 h(R1,R2,b)， 并 将 结果 及 其 中 一 个 随机 串 ， 如 R1， 一 起 发 送 
给 Bob。(h(R1,R2,b),R1) 是 Alice 的 承诺 依据 。Alice 在 第 (4) 步 使 用 单 向 函数 及 随机 串 阻止 Bob 
对 函数 求 逆 ， 以 确定 比特 b 。 

当 需 要 Alice 揭示 她 的 比特 承诺 时 ， 继 续 以 下 操作 。 

(5) Alice 将 (R, 尺 ,D)， 或 者 与 (R ,及 ,D) 单 向 函数 一 起 发 送 给 Bob。 

(6) Bob 计算 (R,R,,b) 的 单 向 函数 值 ， 并 将 该 值 、R 、(R,RR,p)， 以 及 第 (4) 步 收 到 的 
单 向 函数 值 进行 比较 ， 检 验 比特 的 有 效 性 。 

3. 使 用 伪 随 机 序列 发 生 器 的 比特 承诺 方案 


相 比 前 两 个 协议 方案 ， 这 个 协议 的 实现 就 更 容易 ， 有 具体 方案 如 下 所 示 。 

(1) Bob 产生 随机 比特 串 及， 并 将 其 发 送 给 Alice。 

(2) Alice 为 伪 随 机 比特 发 生 器 生成 一 个 随机 种 子 , 然后 , 对 Bob 随机 比特 串 中 的 每 一 
比特 ， 她 回 送 Bob 下 面 两 个 中 的 一 个 : 

@ 如果 Bob 比特 为 0， 发 生 器 的 输出 。 

@ 如 果 Bob 比特 为 1， 发 生 器 输出 与 她 的 比特 的 异 或 。 

当 到 了 Alice 出 示 她 的 比特 的 时 候 ， 协 议 继续 。 

(3) Alice 将 随机 种 子 发 送 给 Bob。 

(4) Bob 完成 第 (2) 步 ， 以 确认 Alice 的 行动 是 合理 的 。 

如 果 Bob 的 随机 比特 串 足 够 长 ， 伪 随机 比特 发 生 器 不 可 预测 ， 这 时 Alice 就 没有 有 效 
的 方法 进行 欺骗 。 


机 | 10.2.5 抛 币 协议 


硬币 抛 投 游戏 试图 使 彼此 互 不 信任 的 双方 对 一 个 随机 位 达成 共识 。 这 个 游戏 是 通过 在 
一 个 交流 信道 发 送 有 序 信息 来 实现 的 。 人 们 总 是 希望 实现 这 样 的 目标 : 如 果 双 方 玩家 都 诚 
实地 遵守 规定 的 协议 ， 那 么 他 们 的 输出 结果 必然 是 相同 的 ， 且 结果 随机 ; 如 果 有 任意 一 方 
础 | 违反 协议 的 要 求 ， 亡 想 进行 欺骗 ， 那 么 ， 希望 诚 实 一 方 的 输出 结果 仍然 是 随机 的 (这 样 双 方 
的 输出 结果 相等 的 概率 很 小 )， 以 确保 该 协议 的 安全 性 。 

有 这 样 一 个 经 典 的 案例 : 一 个 朋友 没有 意识 到 Alice 和 Bob 不 在 一 个 地 方 ， 留 给 了 他 
们 一 辆 汽车 。 他们 将 怎样 决定 汽车 的 归属 呢 ? Bob 打 个 电话 给 Alice, 建议 由 他 投 币 来 决定 。 
Alice 说 选择 “背面 ”， 但 Bob 说 我 投 出 的 是 “正面 ”， 于 是 车 归 Bob。 但 是 ，Alice 完全 
有 理由 来 怀疑 Bob 的 诚实 性 ， 下 一 次 ， 她 可 能 会 选择 别 的 方法 来 解决 这 一 问题 。 

有 这 样 一 个 思路 : 首先 ，Alice 随机 地 选择 一 个 比特 b 发 送 给 Bob，Bob 也 随机 地 选择 
一 个 比特 b 发 送 给 Alice, 投 币 的 结果 就 是 6 @b,。 问 题 就 是 谁 先 发 送 ， 如 果 Alice 先 ，Bob 
将 可 以 选择 bh 来 控制 投 币 的 结果 ， 反 之 亦 然 。 显 然 ， 这 并 不 公平 ， 这 个 方案 明显 不 能 使 二 
人 都 满意 。 

公平 投 币 的 要 求 如 下 : 

@ ”Bob 必须 在 听 到 Alice 猜测 之 前 就 已 经 投 币 。 

@ Bob 不 能 在 听 到 Alice 猜测 之 后 重复 投 币 。 

@ Alice 不 能 在 猜测 之 前 得 到 投 币 结果 。 

很 显然 有 了 这 些 条 件 的 限制 ，Alice 和 Bob 完全 可 以 据 此 来 制定 新 的 方案 (方案 的 前 
提 是 必须 满足 以 上 几 个 条 件 )， 这 样 双方 都 会 满意 。 下 面 将 以 单 向 函数 为 例 进行 说 明 。 

单 向 函数 抛 币 协议 : 该 协议 需要 Alice 和 Bob 对 使 用 一 个 单 向 函数 了 达成 一 致意 见 ， 
协议 非常 简单 ， 如 下 所 示 。 

(1) Alice 选择 一 个 随机 数 x， 她 计算 y= f(x) ， 这 里 f(x) 是 单 向 函数 。 

(2) Alice 将 ?发 送 给 Bob。 

(3) Bob 猜测 x 是 偶数 或 奇数 ， 并 将 猜测 结果 发 送 给 Alice。 

(4) 如 果 Bob 的 猜测 正确 ， 抛 币 结果 为 正面 ; 反之 ， 抛 币 结果 为 背面 。Alice 公布 此 次 
抛 币 的 结果 ， 并 将 x 发 送 给 Bob。 

(5) Bob 确信 ?= (x) 。 

这 个 协议 的 安全 性 取决 于 单 向 函数 。 如 果 Alice 能 够 找到 x 和 x', 满足 x 为 偶数 ， 而 x' 
为 奇数 ， 且 y= f(x)= f(x')， 那 么 她 每 次 都 能 欺骗 Bob。 f(x) 的 没有 意义 的 位 也 必须 与 x 
不 相关 ， 和 否则 ，Bob 至 少 某 些 时 候 能 够 欺骗 Alice。 例 如 ， 如 果 x 是 偶数 ，f(x) 产生 偶数 的 
次 数 占 75%，Bob 就 可 以 利用 这 个 特点 来 进行 猜测 。 


10.2.6 ”不 经 意 传输 


不 经 意 传输 或 称 健忘 传输 (Oblivious Transfer，OT)， 是 设计 其 他 密码 协议 的 基础 。 该 协 
议 是 一 个 双方 协议 ，1981 年 由 M.Rabin 首次 提出 。 在 这 个 协议 中 ， 有 两 个 参与 者 Alice( 发 
送 者 ) 和 Bob( 接 收 者 )。 首先 ，Alice 输入 一 个 消息 M e {0,1)*” ，Alice 和 Bob 通过 一 定 的 交互 
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之 后 ，Bob 只 能 以 1/2 的 概率 接收 到 M (对 Alice 的 隐私 性 )， 而 且 ，Alice 无 法 知道 Bob 是 
否 得 到 了 M (对 Bob 的 隐私 性 )。Bob 可 以 确信 地 知道 他 是 否 得 到 了 消息 M (正确 性 )。 

比 2 取 1 不 经 意 传输 更 一 般 的 不 经 意 传输 协议 是 n 取 1 不 经 意 传 输 。 在 这 个 协议 中 ， 
Bob 只 能 得 到 ”个 消息 中 的 一 个 。 

n 取 m 不 经 意 传输 (0<m<n) 是 所 有 不 经 意 传 输 协议 中 最 一 般 的 , 即 Alice 有 7 个 输入 ， 
Bob 只 能 得 到 其 中 的 m 个 。 

简单 地 说 ， 不 经 意 传输 协议 可 以 概括 为 拥有 以 下 两 点 特性 : 

e@ 设 A 有 一 个 秘密 ， 想 以 1/2 的 概率 传递 给 B， 即 B 有 50% 的 概率 收 到 该 秘密 。 

@ ”协议 执行 完 后 ，A 不 知道 B 是 否 收 到 这 个 秘密 。 

进一步 地 ， 可 以 将 其 形式 化 为 以 下 两 种 情况 。 

1，2 取 1 不 经 意 传输 (OT ) 

在 一 个 两 方 协议 中 , Alice 的 输入 为 2 个 消息 M,、M, s{0.3*，Bob 的 输入 为 ce {0,1}， 
如 果 一 个 协议 为 2 取 1 不 经 意 传输 协议 ， 必 须 满足 以 下 三 个 条 件 : 

e@ 正确 性 。 在 Bob 和 Alice 都 诚实 的 情况 下 ，Bob 总 可 以 得 到 MM. 。 

@ ”对 Alice 的 隐私 性 。Bob 无 法 得 到 另 一 个 MX， 。 

@ ”对 Bob 的 隐私 性 。Alice 无 法 知道 Bob 的 选择 c 。 

2. nn 取 m 不 经 意 传 输 (OT” ) 


在 一 个 两 方 协 议 中 ，Alice 的 输入 为 n 个 消息 M,…,M, e {0,1} ，Bob 的 输入 为 m 个 不 
同 的 选择 c,…,c, e {1,2,…,n}， 如 果 一 个 协议 为 n 取 m 不 经 意 传输 协议 , 必须 满足 以 下 三 个 
条 件 : 
e 正确 性 。 在 Bob 和 Alice 都 诚实 的 前 提 下 ，Bob 得 到 MM,， ie {0,c,,…,c,}。 
@ ”对 Alice 的 隐私 性 。Bob 无 法 得 到 其 他 消息 M,, je {1,2,…,n} {0,63,…,c,}。 
@ ”对 Bob 的 隐私 性 。Alice 无 法 知道 Bob 的 选择 j, je {ci,c,,…,c,}。 
此 外 ， 不 经 意 传输 还 应 用 在 数字 签名 中 ， 称 为 不 经 意 签名 。 其 基本 思想 如 下 : 
@ Alice 有 n 份 不 同 的 消息 。Bob 可 以 选择 其 中 之 一 给 Alice 签名 ，Alice 没有 办 法 知 
道 她 签 的 是 哪 一 份 消息 。 
@ Alice 有 一 份 消息 。Bob 可 以 选择 n 个 密 钥 中 的 一 个 给 Alice 签署 消息 用 ，Alice 无 
法 知道 她 用 的 是 哪 一 个 密 钥 。 


10.3 ”认证 与 密 钥 建立 协议 


认证 与 密 钥 建立 协议 在 安全 的 电子 商务 中 有 着 极其 重要 的 作用 ， 因 此 ， 我 们 有 必要 对 
一 些 典 型 的 密 钥 建立 与 认证 协议 进行 一 定 的 了 解 。 


10.3.1 密 钥 建立 协议 
密 钥 建立 协议 有 很 多 种 ， 下 面 将 以 典型 的 Needham-Schroeder 公 钥 协议 与 X.509 标准 
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小 | 协议 为 例 进 行 详 述 。 

册 1.，Needham-Schroeder 公 钥 协议 

贫 Needham_schroeder 公 钥 协 议 是 最 早 提出 的 密 铀 建立 协议 之 一 ， 消 息 交换 如 图 10.5 所 
什 | 示 ， 它 主要 用 来 提供 双向 实体 认证 ， 但 选择 性 地 使 用 交换 随机 数 N\ 和 Ns ，NA 和 Ne 作 
创 | 为 密 铀 建立 的 共享 秘密 。 


Lowe 发 现 如 图 10-6 所 示 的 攻击 可 以 使 B 不 能 确认 最 后 一 条 消息 是 否 来 自 A。 需 要 说 
明 的 是 ，A 从 未 详细 地 声明 她 欲 与 B 对 话 ， 因 此 ，B 不 能 得 到 任何 保证 A 知道 B 是 她 的 对 
等 实体 。 


A C:E(N,,4) 
CB:E(N,,A) 
B—>C,:E (N,N,) 
CA:E (N,N;) 
A C:E(N,) 


LD 


2. B—> A:E(N,,N;) 
3. A—» B:E,(N,) 


10-5 Needham-Schroeder 公 钥 协议 10-6 Lowe 对 Needham-Schroeder 公 钥 协议 的 攻击 
为 了 改进 Needham-Schroeder 公 钥 协议 以 防止 上 述 的 攻击 , Lowe 提出 了 如 图 10-7 所 示 
协议 ， 它 简单 地 在 第 2 条 消息 中 添加 了 包含 B 的 标识 。 


1. 4A—>B:E(N,,4) 
2. B—> A:E,(N,,N,,B) 


3. 4A—>B:E,(N,) 


10-7 ”Lowe 对 Needham-Schroeder 公 钥 协议 的 改进 
2.X.509 标准 协议 


X.509 标准 共有 3 个 具体 的 协议 ， 分 别 有 1 个 、2 个 和 3 个 消息 流 。 后 两 个 协议 都 是 在 
其 之 前 的 协议 上 添加 一 条 消息 而 来 。 每 个 协议 的 目标 都 是 从 A 到 B 传输 会 话 密 钥 ， 后 两 个 
协议 还 从 B 到 A 传输 会 话 密 钥 。 

(1) X.509 一 路 认证 协议 

这 是 最 简单 的 协议 , 只 有 A 到 B 的 一 条 消息 。 该 协议 使 用 加 密 数据 形成 会 话 密 钥 天 se 。 
其 具体 内 容 如 图 10-8 所 示 。 


1. 4>B:ASig, {TN.B.X,. EY))} 


图 10-8 X.509 一 路 认证 协议 
其 中 ， 民 是 时 间 蕉 (常量 )，N,、 瑟 、 世 是 A 产 生 的 随机 数 ， 已 是 B 的 公 钥 。 可 以 看 
钥 加 密 双 ， 再 用 自己 的 私 钥 签 名 T,、N，、B、X。 以 及 加 密 后 的 效 ， 加 上 自 
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己 的 身份 标识 A， 然 后 把 信息 发 送 给 R。 但是， 此 协议 并 不 安全 ， 图 10-9 给 出 了 对 该 协议 
的 一 种 攻击 。 


lA SED NB ,EY 


2. 1 SB :1,Sig,{T,, NB XE 


10-9 对 X.509 一 路 认证 协议 的 攻击 


上 述 攻击 方法 中 ，A 想 与 B 通信 ， 但 I 假冒 B 接收 ， 修 改 身份 标识 ， 然 后 转发 给 B， 
这 样 ， 对 于 A 和 B 来 说 ， 虽 然 认证 性 可 以 保证 ， 但 是 式 ,入 ,XY 的 机 密 性 无 法 保证 。 

为 了 防止 发 生 此 类 攻击 ,可 以 在 其 发 送 给 B 的 消息 中 加 入 A 的 主体 标识 。 加 入 该 身份 
标识 后 ， 由 于 攻击 者 无 法 用 B 的 私 钥 解密 ， 故 无 法 将 该 身份 标识 修改 为 自己 ， 这 样 B 就 能 
识别 出 攻击 。 

(2) X.509 两 路 认证 协议 

X.509 两 路 认证 协议 包含 2 条 消息 ， 其 第 1 条 消息 与 X.509 一 路 认证 协议 中 的 消息 一 
样 ， 第 2 条 消息 是 B 对 A 的 应 答 ， 具 体内 容 如 图 10-10 所 示 。 


1. 4—»B:4,Sig, {T,,N,,B,X,,E,(Y,)} 


2.B -> A:B,Sigs{T,, No, A,N,, X,,E,(Y,)} 


10-10 X.509 两 路 认证 协议 

其 中 ， 工 、 艺 是 时 间 玲 (常量 )，N,、X，、 坏 是 A 产生 的 随机 数 ，Ns、X6、 坊 是 B 产 
生 的 随机 数 ，E、E, 分 别 是 A 与 B 的 公 钥 。 该 协议 与 X.509 一 路 认证 协议 存在 着 同样 的 
问题 ， 也 可 以 采用 不 同 的 方法 对 其 进行 改进 ， 如 在 加 密 模块 中 加 入 发 送 者 的 标识 ， 从 而 形 
成 一 个 双向 认证 版 本 。 

(3) X.509 三 路 认证 协议 

这 是 最 终 的 X.509 协议 ， 它 包含 第 3 条 消息 一 一 A 对 消息 2 的 确认 。 协 议 的 具体 内 容 
如 图 10-11 所 示 。 


1.4->B:4Sig {TN,,B,X,,E,(Y,))} 
2.B > A:B,Sigs{T,, No, AN,, Ys, E(Y,)} 


3.4—»B:A,Sig, {Ns} 


10-11 X.509 三 路 认证 协议 

其 基本 通信 过 程 如 下 : 首先 ，A 用 B 的 公 钥 加 密 聊 ， 再 用 自己 的 私 钥 签 名 信息 
元 、Nh、B、X 以 及 加 密 后 的 了 乱 ， 然 后 把 信息 发 送 给 B。 当 B 读 取 A 的 第 一 条 信息 后 ，B 
对 A 发 出 认证 信息 。 然 后 ，A 读 取 B 发 送 的 认证 信息 。 最 后 ，A 将 信息 Ns 用 自己 的 私 钥 
签名 后 发 送 给 B。 

表面 上 看 ， 该 协议 应 该 是 安全 的 。 但 是 ， 仔 细 分 析 会 发 现 ， 该 协议 仍旧 存在 着 某 些 攻 
击 ， 其 中 一 种 攻击 如 图 10-12 所 示 。 
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Vt 

小 1. 4A»>1:4,Siga{T, N,,B,X,,E,(Y,)} 

全 .1 > B:ASig, {Ts Ns BX Es(Y)} 

络 2. BI:B,Sigo{ls, Ns A N,, Xa, E06)} 
安 I A 1:4,Sig {TN XE (LN)} 
芒 2". 1 -> A:L,Sig {LT, Ni, A NM, X., E(Y)} 
而 


3". 4 一 T:4Sig {Ns} 
3 有 一 了 B:4Sig {Ns} 


图 10-12 对 X.509 三 路 认证 协议 的 攻击 


在 上 述 攻击 中 ，I 预先 存储 了 一 次 A 主动 发 起 的 会 话 ， 然 后 等 待 A 联络 B 时 ， 截 断 通 
信 ， 并 冒充 B 得 到 A 发 起 的 会 话 ， 接 收 消息 。 接 着 , I 假冒 A 转发 该 消息 给 B， 当 B 要 求 
I 完成 会 话 时 ，I 利用 事先 存储 的 与 A 正常 通信 ， 将 A 当成 预言 机 ， 得 到 sig {Ns}， 然 后 
冒充 A 转发 给 B。 这 样 ， 对 于 A 来 说 ，X、 奢 、N4、 了 和、T、Ns 的 机 密 性 无 法 保证 ， 认 


证 性 可 以 保证 。 对 于 B 来 说 ，X、 厌 、N。、 了 天 、、Ws 的 机 密 性 无 法 保证 ， 认 证 性 也 无 
法 保证 。 


对 于 X.509 三 路 认证 协议 ， 由 于 最 后 一 步 缺 少 身份 标识 ,无 法 判断 发 送 方 的 真实 身份 ， 
故 存在 着 重 放 攻击 。 通 过 本 次 攻击 ，A 与 B 的 通信 内 容 都 被 I 截取。 为 了 防止 这 种 类 型 的 
攻击 ， 解 决 方法 如 图 10-13 所 示 。 


1. 4 B:4,Sig, {TN,,B,X,,E,(Y,)} 
2.B > A:B,Sigs{T,, Ns, A,N,, Xs, E,(Y,)} 


3.4 一 了 :4.Sig {Ns.B} 


10-13 ”改进 后 的 X.509 三 路 认证 协议 
这 样 ， 如 果 工 之 前 的 攻击 方式 中 ， 他 与 A 的 正常 通信 和 最 后 一 步 变 成 : 
3". A—>1:4,Sig {Ns,T} 
而 I 重 放 给 B 的 则 会 变 成 : 
3 1, —>B: 4,Sigs {Ns,B} 
这 样 就 无 法 重 放 攻 击 ， 而 由 于 I 没有 A 的 私 钥 ， 也 无 法 产生 上 述 Sig, {Ns,B} ， 就 无 法 
用 这 种 办 法 产生 攻击 。 


10.3.2 RFID 认证 协议 

认证 协议 多 种 多 样 ， 本 节 将 以 RFID 认证 协议 为 例 进 行 简要 说 明 。 

1. ”RFID 系统 的 基本 构成 

无 线 射频 识别 (Radio Frequency Identification，RFID) 是 一 种 非 接 触 式 自动 识别 技术 。 低 
成 本 的 RFID 系统 目前 广泛 应 用 于 资产 管理 、 追 踪 、 匹 配 、 过 程控 制 、 访 问 控制 、 自 动 付 


费 、 供 应 链 管 理 。RFID 系统 一 般 由 3 部 分 组 成 : RFID 标签 (Tag)、RFID 标签 读 写 器 及 后 
端 数据 库 ( 或 称 为 后 端 服 务 器 )。 标 签 具有 存储 与 计算 功能 ， 可 附着 或 植 入 手机 、 护 照 、 身 
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份 证 、 人 体 、 动 物 、 物 品 、 票 据 中 ， 存 储 在 标签 的 数据 用 于 唯一 标识 被 识别 对 象 。RFID 系 
统 如 图 10-14 所 示 。 


前 向 信道 


k 安全 信道 Sle 不 安全 信道 | 


图 10-14 RFID 系统 的 基本 构成 


(1) 标签 (Tag) 

标签 也 被 称 为 电子 标签 或 职能 标签 ， 它 是 带 有 天 线 的 芯片 ， 芯 片 中 存储 有 能 够 识别 目 
agi RFID 标签 具有 持久 性 ， 信 息 接收 传播 穿 透 性 强 ， 存 储 信息 容量 大 、 种 类 多 等 特 
点 。 有 些 RFID 标签 支持 读 写 功 能 ， 目 标 物体 的 信息 能 随时 被 更 新 。 标 签 没有 微 处 理 器 ， 
eyes 因此 ， 很 难 在 RFID 标签 上 使 用 公 钥 密码 。 

按照 功能 ， 可 将 标签 分 为 以 下 几 类 ， 如 表 10-9 所 示 。 


表 10-9” 按 功能 划分 标签 的 类 别 


Class 0 肪 次 穴 Tag EAS 功能 


Class 1 ES 仅 用 于 识别 
Class 2 一 一 -一 一 一 数据 日 志 记录 
class3 环境 传感器 
Class4 读 写 自 组 网 络 
根据 标签 的 能 量 来 源 ， 可 将 其 分 为 三 大 类 : 被 动 式 标签 、 半 被 动 式 标签 和 主动 式 标签 。 
其 特点 分 别 如 表 10-10 所 示 。 
表 10-10 被动 、 半 被 动 和 主动 式 标签 


类 别 能 量 来 源 最 大 距离 
被 动 式 标签 -一 10m 
主动 式 标签 内 部 电池 1000m 
此 外 ， 依 据 射频 标签 内 部 使 用 的 存储 器 类 型 的 不 同 ， 可 将 其 分 为 以 下 三 种 : 可 读 写 标 
签 (RW)、 一 次 写 入 多 次 读 出 标签 (WORM) 和 只 读 标签 (RO)。RW 标签 一 般 比 WORM 标签 
和 RO 标签 昂贵 得 多 ， 如 信用 卡 等 。WORM 标签 是 用 户 可 以 一 次 性 写 入 的 标签 ， 写 入 后 数 
据 不 能 改变 ，WORM 标签 比 RW 标签 要 便宜 一 些 。RO 标签 存 有 一 个 唯一 的 号 码 ID, 不 能 


LE 


修改 ， 但 相对 来 说 ， 更 便宜 。 

(2) 读 写 器 

读 写 器 实际 上 是 一 个 带 有 天 线 的 无 线 发 射 与 接收 设备 ,处 理 能 力 、 存 储 空间 都 比较 大 。 
分 为 手持 和 固定 两 种 。 由 于 RFID 标签 的 非 接触 特性 ， 须 借助 位 于 应 用 系统 和 标签 之 间 的 
读 写 器 来 实现 数据 读 写 功 能 ， 从 而 通过 计算 机 应 用 软件 对 RFID 标签 写 入 信息 或 者 读 取 标 
签 所 携带 的 数据 信息 。 

(3) 后 端 数据 库 

后 端 数据 库 可 以 是 运行 于 任意 硬件 平台 的 数据 库 系统 ， 通 常 假设 其 计算 和 存储 能 力 强 
大 ， 并 包含 所 有 标签 的 信息 。 

通常 假设 标签 和 读 写 器 之 间 的 通信 信道 是 不 安全 的 ， 而 读 写 器 和 后 端 数 据 库 之 间 的 通 
信 信 道 则 是 安全 的 。 

RFID 系统 的 基本 工作 原理 : 阅读 器 发 射电 磁 波 ， 而 此 电磁 波 有 其 辐射 范围 ， 当 电子 标 
签 进 入 此 电磁 波 辐射 范围 内 ， 电 子 标签 将 阅读 器 所 发 射 的 微小 电磁 波 能 量 存储 ， 而 转换 成 
电路 所 需 的 电能 ， 并 且 将 存储 的 识别 资料 以 电磁 波 的 方式 传送 到 阅读 器 ， 做 确认 及 后 续 控 
制 工作 。 

2.，RFID 系统 的 安全 需求 


RFID 系统 的 应 用 推广 存在 一 些 需要 解决 的 问题 ， 如 读 写 设 备 的 可 靠 性 、 成 本 、 数 据 的 
安全 性 、 个 人 隐私 的 保护 和 与 系统 相关 的 网 络 的 可 靠 性 、 数 据 的 同步 等 。 一 般 来 说 ， 一 个 
安全 的 RFID 系统 应 该 解决 如 下 三 个 基本 的 安全 问题 : 数据 安全 、 隐 私 和 复制 。 

(1) 数据 安全 

由 于 任何 实体 都 可 读 取 标 签 ， 因 此 ， 政 手 可 将 自己 伪装 成 合法 标签 ， 或 者 通过 进行 拒 
绝 服务 攻击 ， 从 而 对 标签 的 数据 安全 造成 威胁 。 

(2) 隐私 

将 标签 ID 与 用 户 身份 相关 联 ， 从 而 侵犯 个 人 隐私 。 未 经 授权 访问 标签 信息 ， 得 到 用 户 
在 消费 习惯 、 个 人 行踪 等 方面 的 隐私 。 与 隐私 相关 的 安全 问题 主要 包括 信息 泄漏 和 追踪 。 

(3) 复制 

约翰 斯 。 霍 普 金 斯 大 学 和 RSA 实验 室 的 研究 人 员 指 出 ，RFID 标签 中 存在 的 一 个 严重 
安全 缺陷 是 标签 可 被 复制 。 利 用 读 写 器 和 附 有 RFID 标签 的 设备 ， 就 能 轻易 地 完成 标签 
复制 工作 。 


3. 物理 安全 机 制 


目前 ， 实 现 RFID 安全 机 制 所 采用 的 方法 主要 有 三 大 类 : 物理 方法 、 密 码 机 制 及 二 者 
的 结合 使 用 。 以 物理 方法 来 保护 RFID Tag 安全 性 的 方法 主要 有 以 下 几 类 : Kill 命令 机 制 、 
静电 屏蔽 、 主 动 干扰 以 及 阻止 标签 等 方法 。 下 面 对 这 些 方法 做 简要 的 说 明 。 

(1) Kill 标签 

Kill 命令 最 初 是 由 Auto-ID 中 心 提出 的 ， 每 一 个 标签 都 有 一 个 口令 ， 当 阅读 器 使 用 口 
令 对 标签 发 送 Kill 命令 时 ， 标 签 将 永久 地 停止 工作 。 比 如 ， 结 账 时 ， 禁 用 附着 于 商品 上 的 
标签 。 这 造成 的 缺点 是 : 标签 用 于 识别 商品 ， 如 果 商 品 不 合格 需要 返回 ， 那 么 需要 重复 使 
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用 标签 中 提供 的 信息 。RFID 标签 标识 图 书馆 中 的 书籍 时 ， 当 书籍 离开 图 书馆 后 ， 这 些 标签 
是 不 能 被 禁用 的 ， 这 是 因为 ， 当 书籍 归还 后 ， 需 要 使 用 相应 的 标签 再 次 标识 书籍。 

(2) Sleeping 标签 

解决 禁用 标签 Killing Tag 缺陷 的 办 法 是 : 让 标签 处 于 睡眠 状态 ， 而 不 是 禁用 ， 以 后 可 
使 用 唤醒 口令 将 其 唤醒 。 难 点 在 于 一 个 唤醒 口令 如 何 与 一 个 标签 相关 联 ， 这 就 需要 一 个 口 
令 管理 系统 。 但 是 ， 当 标签 处 于 睡眠 状态 时 ， 没 有 可 能 直接 使 用 Air Interface 将 特定 的 标签 
与 特定 的 唤醒 口令 相关 联 ， 因 此 ， 需 要 另 一 个 识别 技术 ， 例 如 条 形 码 ， 以 标识 用 于 唤醒 的 
标签 。 

(3) Blocking 标签 

隐私 bit“0” 表 示 标 签 接受 非 限制 的 公共 扫描 ; 隐私 bit“1” 表 示 标 签 是 私有 的 。 以 
bit“1” 开 头 的 标识 符 空间 指定 为 隐私 地 带 (Privacy Zone)。 

当 标签 生产 出 来 ， 并 且 在 购买 之 前 ， 即 在 仓库 、 运 输 汽 车 、 储 存货 架 的 时 候 ， 标 签 的 
隐私 bit 置 为 “0”。 换 名 话说， 任何 阅读 器 都 可 扫描 它们 。 当 消费 者 购买 了 使 用 RFID 标 
签 的 商品 时 ， 销 售 终端 设备 将 隐私 bit 置 为 “1”， 让 标签 处 于 隐私 地 带 。 

(4) 法 拉 第 网 日 

由 于 无 线 电 波 可 被 导电 材料 做 成 的 容器 屏蔽 ， 法 拉 第 网 日 将 贴 有 RFID 标签 的 商品 放 
入 由 金属 网 罩 或 金属 条 片 组 成 的 容器 中 ， 从 而 阻止 标签 与 读 写 器 通信 。 由 于 每 件 商品 都 需 
使 用 一 个 网 时 ， 该 方法 难以 大 规模 实施 。 

(5) 主动 干扰 

标签 用 户 通过 一 个 设备 主动 广播 无 线 电 信号 ， 用 于 阻止 或 破坏 附近 的 RFID 读 写 器 操 
作 。 但 该 方法 可 能 干扰 附近 其 他 合法 RFID 系统 , 甚至 阻 断 附近 其 他 使 用 无 线 电 信号 的 系统 。 


4. 基于 密码 技术 的 安全 机 制 


与 基于 物理 方法 的 物理 安全 机 制 相 比 , 基于 密码 技术 的 安全 机 制 则 更 受到 人 们 的 青睐， 
其 主要 研究 内 容 是 利用 各 种 成 熟 的 密码 方案 和 机 制 来 设计 和 实现 符合 RFID 安全 需求 的 密 
码 协议 。 目 前 ， 典 型 的 RFID 安全 协议 有 Hash-Lock 协议 、 随 机 化 Hash-Lock 协议 、Hash 
链 协议 等 ， 但 是 ， 每 种 都 有 其 自身 的 各 种 各 样 的 缺陷 。 这 里 将 以 Hash-Lock 协议 为 例 进行 
说 明 。 

Hash-Lock 协议 是 由 Sarma 等 人 提出 的 , 为 了 避免 信息 泄露 和 被 追踪 , 它 使 用 metal ID 
来 代替 真实 的 标签 DD。 协议 具体 的 流程 如 图 10-15 所 示 。 


[5 Ts 


10-15 Hash-Lock 协议 


算 Hash-Lock 协议 的 执行 过 程 如 下 。 

机 (1) 读 写 器 Reader 向 标签 Tag 发 送 Query 认证 请 求 。 

电 (2) 标签 Tag 将 metal ID 发 送 给 读 写 器 Reader。 

安 (3) 读 写 器 Reader 将 metal ID 转发 给 后 端 数据 库 DB。 

加 (4) 后 端 数据 库 DB 查询 自己 的 数据 库 ， 如 果 找 到 与 metal ID 匹配 的 项 ， 则 将 该 项 的 
而 | metal ID 发 送 给 读 写 器 Reader， 其 中 IJD 为 待 认证 标签 Tag 的 标识 ，metal ID = 瓦 (key); 否 
则 ， 返 回 给 读 写 器 Reader 认证 失败 信息 。 

(5) 读 写 器 Reader 将 从 后 端 数据 库 DB 接收 的 部 分 信息 key 发 送 给 标签 Tag。 

(6) 标签 Tag 验证 metal ID = 五 (key) 是 否 成 立 ， 如 果 成 立 ， 则 将 其 ID 发 送 给 读 写 器 
Reader。 

(7) 读 写 器 Reader 比较 从 标签 Tag 接收 到 的 ID 是 否 与 后 端 数据 库 DB 发 送 过 来 的 ID 
一 致 ， 若 一 致 ， 则 认证 通过 ; 和 否则， 认证 失败 。 

从 上 述 过 程 可 以 看 出 ，Hash-Lock 协议 中 没有 ID 动态 刷新 机 制 ， 并 且 metal ID 也 保持 
不 变 ，ID 是 以 明文 的 形式 通过 不 安全 的 信道 传送 ， 因 此 Hash-Lock 协议 非常 容易 受到 假冒 
攻击 和 重 传 攻击 ， 攻 击 者 也 可 以 很 容易 地 对 标签 Tag 进行 追踪 。 即 Hash-Lock 协议 完全 没 
有 达到 其 安全 目标 。 


10.4 ” 零 知 识 证明 


在 密码 学 中 ， 零 知识 证 明 通常 是 指 一 种 方法 ， 通 过 该 方法 ， 一 方 可 以 向 另 一 方 证 明 自 
己 拥有 某 种 信息 ， 而 无 须 暴露 该 信息 给 对 方 。 


10.4.1 零 知识 证 明 概 述 


零 知识 证 明 (Zero-Knowledge Proof) 是 由 Goldwasser 等 人 在 20 世纪 80 年 代 初 提出 的 ， 
它 指 的 是 证 明 者 能 够 在 不 向 验证 者 提供 任何 有 用 的 信息 的 情况 下 ， 使 验证 者 相信 某 个 论断 
是 正确 的 。 

零 知 识 证 明 实质 上 是 一 种 涉及 两 方 或 更 多 方 的 协议 ， 即 两 方 或 更 多 方 完成 一 项 任务 所 
需 采 取 的 一 系列 步 又。 证 明 者 向 验证 者 证 明 并 使 其 相信 自己 知道 或 拥有 某 一 消息 ， 但 证 明 
过 程 不 能 向 验证 者 泄漏 任何 关于 被 证 明 消 息 的 信息 。 

在 Goldwasser 等 人 提出 的 零 知识 证 明 中 ， 证 明 者 和 验证 者 之 间 必 须 进行 交互 ， 这 样 的 
零 知 识 证 明 被 称 为 “交互 零 知 识 证 明 ”。 

20 世纪 80 年 代 末 ，Blum 等 人 进一步 提出 了 “ 非 交 互 零 知识 证 明 ” 的 概念 ， 用 一 个 短 
随机 串 代替 交互 过 程 ， 并 实现 了 零 知 识 证 明 。 非 交互 零 知 识 证 明 的 一 个 重要 应 用 场合 是 需 
要 执行 大 量 密码 协议 的 大 型 网 络 。 

大 量 事实 证 明 ， 零 知识 证 明 在 密码 学 中 非常 有 用 。 在 零 知 识 证 明 中 ， 一 个 人 (或 器 件 ) 
可 以 在 不 泄漏 任何 秘密 的 情况 下 , 证 明 他 知道 这 个 秘密 。 如 果 能 够 将 零 知 识 证 明 用 于 验证 ， 
将 可 以 有 效 地 解决 许多 问题 。 

零 知 识 证 明 的 基本 思想 是 : 称 为 证 明 者 的 一 方 试图 使 被 称 为 验证 者 的 另 一 方 相信 某 个 
论断 是 正确 的 ， 却 又 不 向 验证 者 提供 任何 有 用 的 信息 。 
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1. 零 知识 证 明 的 简单 模型 

Jean-Jacques Quisquater 和 Louis Guillou 曾 个 关于 洞穴 的 故事 来 解释 零 知识 证 明 。 
如 图 10-16 所 示 ，C 和 了 之 间 有 一 个 秘密 之 门 ， 只 有 知道 咒语 的 人 才能 打开 这 个 门 。 对 其 
他 人 来 说 ， 两 条 路 都 是 死胡同 。P 知道 这 个 洞穴 的 秘密 ， 他 想 对 V 证 明 这 一 点 ， 但 他 又 不 
想 泄露 咒语 。 


10-16 零 知 识 洞穴 


下 面 是 P 如 何 使 V 相信 的 过 程 。 

(1) V 站 在 A 点 。 

(2) P 一 直 走 进 洞穴 ， 到 达 C 点 或 者 DD 点 。 

(3) 在 P 消失 在 洞穴 中 后 ，V 走 到 B 点 。 

(4) V 向 P 喊叫， 要 她 : (a) 从 左 通道 出 来 ， 或 者 (b) 从 右 通道 出 来 。 

(5) P 答应 了 ， 如 果 有 必要 ， 她 就 用 咒语 打开 密 门 。 

(6) P 和 YV 重复 步骤 (1) 至 (5)m 次 。 

假设 V 有 一 个 摄像 机 ， 并 记录 下 他 所 看 到 的 一 切 。 他 记录 下 了 消失 在 洞 中 的 情景 ， 记 
录 下 他 喊叫 P 从 他 选择 的 地 方 出 来 的 时 间 ， 记 录 下 P 走出 来 。 他 记录 下 所 有 次 试验 。 如 
果 他 把 这 些 记录 给 Carol 看 ， 她 会 相信 P 知道 打开 密 门 的 咒语 吗 ? 肯定 不 会 。 在 不 知道 咒 
语 的 情况 下 ,如 果 P 和 V 事先 商定 好 V 喊叫 什么 ， 那 将 如 何 呢 ? P 会 确信 她 走 进 V 叫 她 出 
来 的 那 一 条 路 ， 然 后 她 就 可 以 在 不 知道 咒语 的 情况 下 ， 在 V 每 次 要 她 出 来 的 地 方 出 来 。 或 
许 他 们 不 那么 做 ，P 会 走 进 其 中 一 条 通道 ，V 会 发 出 一 个 随机 的 要 求 ， 如 果 V 猜 对 了 ， 好 
极 了 ; 如 果 他 猜 错 了 ， 他 们 会 从 录像 带 中 删除 这 个 试验 。 总 之 ，V 能 获得 一 个 记录 ， 它 准 
确 显 示 与 实际 证 明知 道 咒语 相同 的 事件 顺序 。 

这 说 明了 两 件 事情 。 其 一 ，V 不 可 能 使 第 三 方 相信 这 个 证 明 的 有 效 性 。 其 二 ， 它 证 明 
了 这 个 协议 是 零 知 识 的 。 在 P 不 知道 咒语 的 情况 下 ，V 显然 不 能 从 记录 中 获悉 任何 信息 。 
但 是 ， 因 为 无 法 区 分 一 个 真实 的 记录 和 一 个 伪造 的 记录 ， 所 以 V 不 能 从 实际 证 明 中 了 解 任 
何 信息 一 一 它 必 定 是 零 知 识 。 

协议 使 用 的 技术 叫 作 分 割 选择 ， 是 公平 分 享 东西 时 的 经 典 协 议 ， 其 步骤 如 下 。 

(1) Alice 将 东西 切 成 两 半 。 


算 (2) Bob 给 自己 选择 一 半 。 
机 (3) Alice 拿 走 剩 下 的 一 半 。 
旭 Alice 最 关心 的 是 在 步 对 (1) 中 的 等 分 , 因为 Bob 可 以 在 步 耿 2) 中 选择 他 想 要 的 那 一 半 。 
名 Michael Rabin 是 第 一 个 在 密码 学 中 使 用 分 所 选择 技术 的 人 ， 交 互 式 协议 和 和 知识 的 概 人 是 
基 


:| 后 来 才 正 式 提出 的 。 
而 分 割 选择 协议 起 作用 是 因为 P 没 有 办 法 重复 猜 出 V 要 她 从 哪 一 边 出 来 。 如果 了 不 知道 
这 个 秘密 ， 那 么 她 只 能 从 进去 的 路 出 来 。 在 协议 的 每 一 轮 ( 有 时 叫 一 次 鉴别 ) 中 ， 她 有 50% 
的 机 会 猜 中 V 会 叫 她 从 哪 一 边 出 来 , 所 以 她 有 50% 的 机 会 欺骗 他 。 在 两 轮 中 她 欺骗 V 的 机 
会 是 23%。 而 所 有 次 她 欺骗 V 机 会 是 12" 。 经 过 16 轮 后 ，P 只 有 1/65536 的 机 会 欺骗 。 
V 可 以 安全 地 假定 ， 如 果 所 有 16 次 了 的 证 明 都 是 有 效 的 ， 那 么 她 一 定 知道 开启 C 点 和 D 
点 间 的 密 门 的 咒语 (洞穴 的 比拟 并 不 完美 。P 可 能 简单 地 从 一 边 走 进去 ， 并 从 另 一边 出 来 
这 里 并 不 需要 任何 分 割 选择 协议 ， 但 是 ， 数 学 上 的 零 知识 需要 它 )。 

假设 P 知道 一 部 分 信息 ， 而 且 这 个 信息 是 一 个 难题 的 解法 ， 基 本 的 零 知 识 协议 由 下 面 
几 轮 组 成 。 

(1) P 用 她 的 信息 和 一 个 随机 数 将 这 个 难题 转变 成 另 一 难题 ， 新 的 难题 与 原来 的 难题 
同 构 。 然 后 ， 她 用 她 的 信息 和 这 个 随机 数 ， 解 这 个 新 的 难题 。 

(2) P 利用 比特 约定 方案 提交 这 个 新 的 难题 的 解法 。 

(3) P 向 V 透露 这 个 新 难题 。V 不 能 用 这 个 新 难题 得 到 关于 原 难 题 或 其 解法 的 任何 
信息 。 

(4) V 要 求 了 或 者 : (3) 向 他 证 明 新 旧 难题 是 同 构 的 ( 即 两 个 相关 问题 的 两 种 不 同 解法 ); 
(b) 公 开 她 在 步骤 (2) 提 交 的 解法 并 证 明 是 新 难题 的 解法 。 

(5) P 同意 。 

(6) P 和 YV 重复 步 又 (1) 至 (5)， 重复 n 次 。 

还 记得 洞穴 协议 中 的 摄像 机 吗 ? 在 此 ， 你 可 以 做 同样 的 事 。V 可 以 做 一 个 在 他 和 了 之 
间 交 换 的 副本 ， 他 不 能 用 这 个 副本 让 Carol 信服 ， 因 为 他 总 能 串通 P 制造 出 一 个 伪造 多 
识 的 模拟 器 。 这 个 论点 可 以 用 来 论证 这 样 的 证 明 是 零 知识 的 。 

这 类 证 明 的 数学 背景 是 很 复杂 的 。 这 个 问题 和 这 个 随机 变换 一 定 要 仔细 挑选 ， 使 得 站 
至 在 协议 的 多 次 迭代 之 后 ，Bob 仍 不 能 得 到 关于 原 问题 解法 的 任何 信息 。 

不 是 所 有 难题 都 能 用 作 零 知识 证 明 ， 但 很 多 都 可 以 。 

2.， 平方 根 问题 的 零 知 识 

令 N=PO，P、0Q 为 两 个 大 素数 ， 了 是 mod N 的 一 个 平方 ， 且 gcd(Y,N)=1， 需 要 注 
意 的 是 ， 找 到 mod NX 的 平方 根 与 分 解 N 是 等 价 的 。P 声称 他 知道 了 的 一 个 平方 根 3 ， 但 他 
不 愿意 泄露 S，V 想 证 明 P 是 否 真 的 知道 。 这 个 问题 的 一 个 解决 方案 如 下 。 

(1) P 选择 两 个 随机 数 尺 和 尺 ， 满 足 gcd(R,N)=1 R=SR', RR=SmodN。P 计 
算 卫 =R?*modN， X=R*modN， 并 将 钱 、X, 发 送 给 V。 

(2) V 检 验 卫 XX,=YmodN， 然 后 V 随机 选择 氏 (或 卫 )， 让 P 提供 它 的 一 个 平方 根 ， 
并 检验 P 是 否 提供 了 真 的 平方 根 。 

(3) 重复 上 面 的 过 程 ， 直 到 V 相信 为 止 。 


后 
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这 里 需要 说 明 的 是 ，P 不 知道 了 的 平方 根 ， 虽 然 他 可 能 知道 对、X, 的 一 个 平方 根 ， 但 


10.4.2 ”交互 式 零 知识 证 明 


交互 式 零 知 识 证 明 (Interactive Zero Knowledge Proofs)， 是 指 执行 协议 的 双方 (证 明 者 P 
和 验证 者 V) 进 行 有 连接 的 通信 ， 一 方 P 执 行 完 一步 协 议 后 ， 对 方 产生 应 答 ，P 再 做 出 相应 
的 反应 ， 以 交互 式 应 答 的 方式 执行 完整 的 协议 。 
在 进行 完 所 有 的 交互 之 后 ， 验 证 者 判断 证 明 者 所 给 出 的 证 明 过 程 是 否 足以 证 明 命 题 的 
正确 性 。 
交互 式 证 明 系统 最 初 是 由 Goldwasser、Mieali、Raekoff 及 Babai 分 别提 出 的 。 
定义 : 一 个 语言 工 的 交换 证 明 系统 是 一 个 由 证 明 者 和 验证 者 组 成 的 交互 过 程 ， 它 们 有 
共同 的 输入 ， 并 且 它 们 的 交互 过 程 满足 以 下 条 件 。 
(1) 验证 者 的 策略 是 一 个 概率 多 项 式 时 间 的 过 程 。 
(2) 证 明 者 的 计算 能 力 没 有 限制 。 
(3) 正确 性 要 求 。 
@ 完备 性 : 存在 一 个 证 明 策 略 P， 对 于 任意 的 xe 工 ， 当 交互 的 输入 为 Xx 时， 证 明 者 
P 可 以 以 至 少 2/3 的 概率 使 得 验证 者 接受 。 
@ 可靠 性 : 对 于 任意 的 xg 工 ， 当 交互 的 输入 为 x 时 ， 对 于 证 明 者 的 任意 的 策略 P*， 
至 多 只 能 以 1/3 的 概率 使 得 验证 者 接受 。 
Babai 所 定义 的 交互 证 明 系 统 被 称 为 Arthur-Merlin Games。 它 与 交互 证 明 系 统 的 不 同 之 
处 在 于 ， 它 的 验证 者 Arthur 被 要 求 只 能 给 证 明 者 Merlin 随机 串 ， 而 不 能 是 由 验证 者 计算 出 
来 的 信息 。 这 种 系统 又 被 称 为 公开 抛 币 系 统 (Public-Coin Systems)。 虽 然 在 形式 上 有 所 不 同 ， 
但 在 1986 年 Goldwasser 和 Sipser 证 明了 这 两 种 系统 在 计算 能 力 上 是 等 价 的 。 


10.4.3” 非 交互 式 零 知识 证 明 


与 交互 式 零 知 识 证 明 相 比 ， 非 交互 式 零 知识 证 明 是 无 连接 的 , 是 一 个 单 向 交互 的 过 程 ， 
它 适用 于 一 方 地 址 不 定 或 变化 的 情况 。 非 交互 式 零 知 识 证 明 也 包括 两 种 类 型 ， 一 种 是 成 员 
或 定理 的 非 交 互 式 零 知识 证 明 系 统 ， 另 一 种 是 知识 的 非 交 互 式 零 知识 证 明 系 统 。 

在 一 个 非 交 互 式 零 知识 证 明 系 统 中 ， 也 有 两 方 ， 分 别称 为 证 明 者 P 和 验证 者 V。P 知 
道 某 一 定理 的 证 明 ， 他 希望 向 验证 者 证 明 他 的 确 能 证 明 这 一 定理 。 对 一 个 语言 工 的 非 交 互 
式 证 明 系 统 有 两 个 阶段 构成 : 第 一 个 阶段 是 预 处 理 阶段 ， 主 要 建立 证 明 者 和 验证 者 拥有 的 
某 些 共同 信息 ， 以 及 他 们 各 自 拥有 的 某 些 秘密 信息 ， 这 个 预 处 理 阶 段 独立 于 定理 证 明 阶 段 ， 
而 且 允 许 证 明 者 和 验证 者 之 间 进 行 交互 ;第 二 个 阶段 是 定理 证 明 阶段 ， 证 明 者 选择 并 向 验 
证 者 证 明定 理 ， 这 个 定理 证 明 阶段 可 以 是 非 交 互 的 。 

接 下 来 介绍 非 交 互 式 零 知 识 证 明 的 验证 性 。 由 证 明 者 P 所 提供 的 一 个 定理 的 证 明 ， 关 
于 他 的 验证 ， 有 以 下 两 种 可 能 

@ ”定理 的 证 明 被 直接 提供 给 一 个 特定 的 验证 者 V， 而 且 只 有 V 才能 验证 。 

@ ”定理 的 证 明 能 被 系统 中 的 任 一 用 户 验 证 。 


eh 


PF 


在 后 一 种 情况 中 ， 我 们 称 证 明 是 公开 可 验证 的 。 

公开 可 验证 的 非 交 互 式 零 知识 证 明 系 统 的 重要 性 ， 在 于 它 可 以 应 用 于 数字 签名 和 消息 
认证 等 密码 协议 中 。 

证 明 的 公开 可 验证 性 是 指 任何 人 都 能 够 检验 签名 。 而 由 特定 的 验证 者 验证 的 情况 可 用 
于 带 有 仲裁 的 第 三 方 。 


由 
EE 


浇 惟 癌 淮 一 


= 


本 章 小 结 


安全 协议 是 以 密码 学 为 基础 的 消息 交换 协议 ， 其 目的 是 在 网 络 环境 中 提供 各 种 安全 服 
务 。 本 章 从 安全 协议 的 概念 出 发 ， 介 绍 安全 协议 的 设计 原则 ， 分 析 安 全 协议 存在 的 缺陷 及 
面临 的 攻击 ， 然 后 较为 详细 地 介绍 几 种 基本 的 安全 协议 ， 秘 密 分 割 、 秘 密 共享 、 阔 下 信道、 
比特 承诺 、 公 平 硬币 的 抛 投 、 不 经 意 传输 等 ， 接 着 引入 认证 和 密 钥 建立 协议 ， 该 协议 在 安 
全 电子 商务 中 有 着 极其 重要 的 作用 ， 最 后 详细 介绍 零 知 识 证 明 。 

希望 读者 在 阅读 完 本 章 的 知识 之 后 , 能 够 掌握 协议 的 设计 原则 、 基本 的 安全 协议 、RFID 
认证 协议 和 零 知 识 证 明 。 


习题 。 思 考题 


1. 什么 是 安全 协议 ? 协议 、 算 法 和 安全 协议 的 区 别 是 什么 ? 

2. 安全 协议 的 目标 是 什么 ?设计 一 个 安全 协议 时 ， 应 遵循 哪些 原则 ? 

3. 在 秘密 共享 中 ， 如 何 确信 自己 的 影子 是 正确 的 呢 ? Feldman 给 出 了 可 验证 秘密 共享 
的 概念 。 设 秘密 为 9， 选择 多 项 式 fxz)=s+awx+awxz， 公布 承诺 值 g8"、g94、82， 将 (GD 
交 给 n 个 秘密 共享 者 的 每 一 位 。 试 说 明 如 何 利 用 公布 的 承诺 值 验证 (了 (i),i) 的 正确 性 。 

4. 简 述 不 经 意 传 输 协议 的 应 用 背景 。 为 什么 它 可 以 应 用 于 秘密 交换 ? 

5.，RFID 系统 由 哪 几 部 分 构成 ”其 应 该 解决 的 安全 需求 是 什么 ? 

6. 简 述 Hash-Lock 协议 的 流程 。 

7. 什么 是 零 知识 证 明 ? 什么 是 交互 式 替 知识 证 明和 非 交 互 式 零 知 识 证 明 ? 它们 之 间 
有 什么 不 同 ? 

8. 下 面 给 出 的 是 Alice 使 Bob 相信 她 知道 Carol 的 私人 密 钥 的 一 个 零 知 识 协议 。Carol 
的 公开 密 钥 是 e， 私 人 密 钥 是 4 ，RSA 模 数 是 n。 

(1) Alice 和 Bob 商定 一 个 随机 的 上 和 m ， 使 得 fm =emodn 。 他 们 应 当 随机 选择 这 些 
数 : 使 用 一 种 硬币 抛 投 协议 来 产生 一 个 大 ， 然 后 计算 不 。 如 果 天 和 六 两 个 都 大 于 3， 协 议 
继续 ; 否则 ， 重 新 选择 。 

(2) Alice 和 Bob 产生 一 个 随机 密 文 C， 他 们 应 当 再 一 次 使 用 硬币 抛 投 协议 。 

(3) Alice 使 用 Carol 的 秘密 密 钥 来 计算 M = C?* modn， 然 后 计算 于 =M*modn， 并 将 
于 发 送 给 Bob。 

(4) Bob 证 明了 ”modn 一 C， 如 果 成 立 ， 他 相信 Alice 所 说 的 是 真 的 。 

为 什么 说 该 协议 是 零 知识 的 ? 


NE 
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由 于 计算 机 网 络 的 发 展 ， 网 络 的 开放 性 、 共 享 性 、 互 连 程度 也 随 之 扩大 。 政 府 上 网 工 
程 的 启动 和 实施 ， 电 子 商务 (Electronic Commerce)、 电 子 货币 (Electronic Currency)、 网 上 银 
行 等 业务 的 兴起 和 发 展 ， 使 得 网 络 安全 问题 显得 日 益 重 要 和 突出 。 防 火 墙 技术 能 够 提高 数 
据 在 网 络 传输 过 程 中 的 安全 性 ， 现 在 已 被 广泛 应 用 于 计算 机 网 络 安全 领域 。 


11.1 防火 墙 概述 


防火 墙 ， 顾名思义 ， 本 意 就 是 指 隔断 火 患 和 财产 之 间 的 一 堵 墙 ， 以 此 来 达到 降低 财物 
损失 的 目的 。 而 在 计算 机 领域 中 的 防火 墙 ， 功 能 类 似 于 现实 中 的 防火 墙 ， 能 把 网 上 绝 大 多 
数 的 外 来 侵害 都 挡 在 外 面 ， 保 护 计算 机 的 安全 。 


11.1.1 防火 墙 的 基本 概念 


防火 墙 (FirewalD) 通 常 是 指 设置 在 不 同 网 络 ( 如 可 信任 的 企业 内 部 网 和 不 可 信 的 公共 网 ) 
或 网 络 安全 域 之 间 的 一 系列 部 件 的 组 合 (包括 硬件 和 软件 )。 它 是 不 同 网 络 或 网 络 安全 域 之 
间 信 息 的 唯一 出 入 口 ， 能 根据 企业 的 安全 政策 控制 (允许 、 拒 绝 、 监 测 ) 出 入 网 络 的 信息 流 ， 
且 本 身 具 有 较 强 的 抗 攻 击 能 力 。 它 是 提供 信息 安全 服务 , 实现 网 络 和 信息 安全 的 基础 设施 。 

在 逻辑 上 ， 防 火 墙 是 一 个 分 离 器 、 限 制 器 ， 也 是 一 个 分 析 器 ， 能 有 效 地 监控 内 部 网 与 
Intemet 之 间 的 任何 活动 ， 保 证 内 部 网 络 的 安全 (如 图 11-1 所 示 )。 


= | 
可 信 吉 的 网 络 | 


图 11-1 防火 墙 的 逻辑 位 置 
由 于 防火 墙 设 定 了 网 络 边界 和 服务 ， 因 此 ， 更 适合 于 相对 独立 的 网 络 ， 例 如 Intranet 
等 。 防 火 墙 成 为 控制 对 网 络 系统 访问 的 非常 流行 的 方法 。 事实 上 ， 在 Intermnet 上 的 Web 网 
站 中 ,超过 三 分 之 一 的 Web 网 站 都 是 由 某 种 形式 的 防火 墙 加 以 保护 的 ， 这 是 对 黑客 最 严格 
的 防范 ， 是 安全 性 较 强 的 一 种 方式 。 任 何 关键 性 的 服务 器 ， 都 应 放 在 防火 墙 之 后 。 
11.1.2 ”防火 墙 的 特性 
典型 的 防火 墙 主要 具有 以 下 三 个 方面 的 基本 特性 。 
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1. 内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数据 流 都 必须 经 过 防火 墙 


这 是 防火 墙 所 处 网 络 位 置 的 特性 ， 同 时 ， 也 是 一 个 前 提 。 只 有 当 防火 墙 是 内 、 外 部 网 
络 之 间 通 信 的 唯一 通道 时 ， 才 可 以 全 面 、 有 效 地 保护 用 户 内 部 网 络 不 受 侵害 。 

根据 美国 国家 安全 局 制定 的 《信息 保障 技术 框架 》， 防 火 墙 适用 于 用 户 网 络 系统 的 边 
界 ， 属 于 用 户 网 络 边界 的 安全 保护 设备 。 网 络 边界 即 采 用 不 同安 全 策略 的 两 个 网 络 连接 处 ， 
如 用 户 网 络 和 Intemet 之 间 连 接 、 与 其 他 业务 往来 单位 的 网 络 连接 、 用 户 内 部 网 络 不 同 部 门 
之 间 的 连接 等 。 

防火 墙 的 目的 ， 就 是 在 网 络 之 间 建 立 一 个 安全 控制 点 ， 通 过 人 允许、 拒绝 或 重新 定向 经 
过 防火 墙 的 数据 流 ， 实 现 对 进 、 出 内 部 网 络 的 服务 和 访问 的 审计 和 控制 。 典 型 的 防火 墙 体 
系 网 络 结构 如 图 11-2 所 示 。 


S.. 
名 由 国 由 由 


11-2 ”典型 的 防火 墙 体系 网 络 结构 


从 图 11-2 可 以 看 出 ， 防 火 墙 的 一 端 连接 企 事业 单位 内 部 的 局 域 网 ， 而 另 一 端 则 连接 着 
Intemet， 所 有 的 内 、 外 部 网 络 之 间 的 通信 都 要 经 过 防火 墙 。 


2. 只 有 符合 安全 策略 的 数据 流 才 能 通过 防火 墙 


防火 墙 的 最 基本 功能 ， 是 确保 网 络 流量 的 合法 性 ， 并 在 此 前 提 下 ， 将 网 络 的 流量 快速 
地 从 一 条 链 路 转发 到 另外 的 链 路 上 去 。 原 始 的 防火 墙 是 一 台 “ 双 穴 主 机 ”， 即 具备 两 个 网 
络 接口 ， 同 时 拥有 两 个 网 络 层 地 址 。 

防火 墙 将 网 络 上 的 流量 通过 相应 的 网 络 接口 接收 ， 按 照 OSI 协议 栈 的 七 层 结构 顺序 上 
传 ， 在 适当 的 协议 层 进行 访问 规则 和 安全 审查 ， 然 后 将 符合 通过 条 件 的 报 文 从 相应 的 网 络 
接口 送出 ， 而 对 于 那些 不 符合 通过 条 件 的 报 文 ， 则 予以 阻 断 。 因 此 ， 从 这 个 角度 来 说 ， 防 
火 墙 是 一 个 类 似 于 桥接 或 路 由 器 的 多 端口 的 (网 络 接口 三 12) 转 发 设备 ， 它 跨 接 于 多 个 分 离 
的 物理 网 段 之 间 ， 并 在 报 文 转发 过 程 中 完成 对 报 文 的 审查 工作 。 

3. 防火 墙 自身 应 具有 非常 强 的 抗 攻 击 免 疫 力 

这 是 防火 墙 能 担当 用 户 内 部 网 络 安全 防护 重任 的 先决 条 件 。 防 火 墙 处 于 网 络 边缘 ， 它 
就 像 一 个 边界 卫士 ， 每 时 每 刻 都 要 面 对 黑 客 的 入 侵 ， 这 样 ， 就 要 求 防火 墙 自身 具有 非常 强 


的 抗击 入 侵 能 力 。 其 中 防火 墙 操作 系统 本 身 是 关键 ， 只 有 自身 具有 完整 信任 关系 的 操作 系 
统 ， 才 可 以 保证 系统 的 安全 性 。 其 次 ， 就 是 防火 墙 自身 具有 非常 低 的 服务 功能 ， 除 了 专门 


算 | 的 防火 墙 嵌 入 系统 外 ， 再 没有 其 他 应 用 程序 在 防火 墙 上 运行 。 当 然 ， 这 些 安全 性 也 只 能 说 
机 | 是 相对 的 。 
网 
委 11.1.3 “防火墙 的 功能 
让 防火 墙 能 增强 内 部 网 络 的 安全 性 ， 加 强 网 络 间 的 访问 控制 ， 防 止 外 部 用 户 非法 使 用 内 
而 | 部 网 络 资源 ， 保 护 内 部 网 络 不 被 破坏 ， 防 止 内 部 网 络 的 敏感 数据 被 窃取 。 防 火 墙 系统 能 
决定 外 界 可 以 访问 哪些 内 部 服务 ， 以 及 内 部 人 员 可 以 访问 哪些 外 部 服务 。 

一 般 来 说 ， 防 火 墙 应 该 具备 以 下 功能 : 

e ”支持 安全 策略 。 即 使 在 没有 其 他 安全 策略 的 情况 下 ， 也 应 该 支持 “除非 特别 许可 ， 
否则 拒绝 所 有 的 服务 ”的 设计 原则 。 
易于 扩充 新 的 服务 和 更 改 所 需 的 安全 策略 。 
具有 代理 服务 功能 (例如 FTP、Telnet 等 )， 包 含 先进 的 鉴别 技术 。 
采用 过 滤 技术 ， 根 据 需求 ， 允 许 或 拒绝 某 些 服务 。 
具有 灵活 的 编程 语言 ， 界 面 友好 ， 且 具有 很 多 过 滤 属性 ， 包 括 源 和 目的 卫 地 址 、 
协议 类 型 、 源 和 目的 TCP/UDP 端口 ， 以 及 进入 和 输出 的 接口 地 址 。 
具有 缓冲 存储 的 功能 ， 提 高 访问 速度 。 
能 够 接纳 对 本 地 网 的 公共 访问 ， 对 本 地 网 的 公共 信息 服务 进行 保护 ， 并 根据 需要 
删 减 或 扩充 。 
具有 对 拨号 访问 内 部 网 的 集中 处 理 和 过 滤 能 力 。 
具有 记录 和 审计 功能 , 包括 允许 等 级 通信 和 记录 可 以 活动 的 方法 , 便于 检查 和 审计 。 
防火 墙 设备 上 所 使 用 的 操作 系统 和 开发 工具 都 应 该 具备 相当 等 级 的 安全 性 。 
防火 墙 应 该 是 可 检验 和 可 管理 的 。 


11.2 防火墙 的 体系 结构 


堡垒 主机 在 防火 墙 体系 结构 中 起 着 至 关 重 要 的 作用 ， 它 专门 用 来 击 退 攻击 行为 。 网 络 
防御 的 第 一 步 ， 是 寻找 煲 又 主机 的 最 佳 位 置 ， 堡 又 主机 为 内 网 和 外 网 之 间 的 所 有 通道 提供 
一 个 阻塞 点 。 没 有 堡垒 主机 ， 就 不 能 连接 外 网 ， 同 样 ， 外 网 也 不 能 访问 内 网 。 如 果 通 过 堡 
垒 主机 来 集中 网 络 权限 ， 就 可 以 轻松 地 配置 软件 来 保护 网 络 。 


11.2.1 双 宿 主 主机 体系 结构 


双重 宿主 主机 体系 结构 (如 图 11-3 所 示 ) 是 围绕 具有 双重 宿主 的 主机 计算 机 而 构筑 的 ， 
该 计算 机 至 少 有 两 个 网 络 接口 ， 其 中 一 些 接口 连接 到 一 段 网 络 ， 另 一 些 接口 连接 另 一 网 段 ， 
这 样 的 主机 可 以 充当 与 这 些 接口 相连 的 网 络 之 间 的 路 由 器 ， 它 能 够 从 一 个 网 络 到 另 一 个 网 
络 发 送 人 P 数据 包 。 然 而 ， 实 现 双 重 宿主 主机 的 防火 墙 体系 结构 禁止 这 种 发 送 功能 ， 因 此 ， 
人 P 数据 包 并 不 是 从 一 个 网 络 (如 因特网 ) 直 接 发 送 到 其 他 网 络 (如 内 部 的 被 保护 的 网 络 ) 的 。 防 
火 墙 内 部 的 系统 能 与 双重 宿主 主机 通信 ， 同 时 ， 防 火 墙 外 部 的 系统 (在 因特网 上 ) 也 能 与 双 
重 宿主 主机 通信 ， 但 内 部 网 络 与 外 部 网 络 不 能 直接 互相 通信 ， 它 们 之 间 的 通信 必须 经 过 双 
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重 宿主 主机 的 过 滤 和 控制 。 双 重 宿主 主机 的 防火 墙 体系 结构 相当 简单 ， 双 重 宿主 主机 位 于 
两 者 之 间 ， 并 且 被 连接 到 因特网 和 内 部 的 网 络 。 


11-3 双 宿 主 主机 体系 结构 


11.2.2 屏蔽 主机 体系 结构 


屏蔽 主机 体系 结构 如 图 11-4 所 示 ， 防 火 墙 没有 使 用 路 由 器 ， 但 能 提供 来 自 于 多 个 网 络 
相连 的 主机 的 服务 ， 而 屏蔽 主机 体系 结构 使 用 一 个 单独 的 路 由 器 ， 提 供 来 自 仅 仅 与 内 部 的 
网 络 相连 的 主机 的 服务 。 在 这 种 体系 结构 中 ， 主 要 的 安全 由 数据 包 过 滤 提 供 。 


双 窗 主 堡 又 主机 面目 
| wm 
下 “专用 主机 


11-4 屏蔽 主机 体系 结构 


在 屏蔽 的 路 由 器 上 的 数据 包 过 滤 是 按 这 样 一 种 方法 设置 的 ,堡垒 主机 是 因特网 上 的 主 
机 能 连接 到 内 部 网 络 上 的 系统 的 桥梁 。 即 使 这 样 ， 也 仅 有 某 些 确 定 类 型 的 连接 被 允许 。 任 
何 外 部 的 系统 试图 访问 内 部 的 系统 或 服务 ， 必 须 连 接 到 这 台 堡 又 主机 上 。 因 此 ， 堡 又 主机 
需要 拥有 高 等 级 的 安全 。 

在 这 种 体系 结构 中 ， 主 要 的 安全 由 数据 包 过 滤 提 供 (例如 ， 数 据 包 过 滤 用 于 防止 人 们 绕 
过 代理 服务 器 直接 相连 )。 数 据 包 过 滤 也 允许 堡 侣 主机 开放 可 允许 的 连接 (什么 是 可 允许 ， 
将 由 用 户 站 点 的 安全 策略 决定 ) 到 外 部 世界 。 在 屏蔽 的 路 由 器 中 ， 数 据 包 过 滤 配 置 可 以 按 下 
列 之 一 执行 : 

@ ”允许 其 他 的 内 部 主机 为 了 某 些 服务 与 因特网 上 的 主机 连接 ， 即 允许 那些 已 经 由 数 

据 包 过 滤 的 服务 。 
@ 不 允许 来 自 内 部 主机 的 所 有 连接 (强迫 那些 主机 经 由 堡 爸 主机 使 用 代理 服务 )。 


用 户 可 以 针对 不 同 的 服务 混合 使 用 这 些 手段 ， 某 些 服务 可 以 被 允许 直接 经 由 数据 包 过 
滤 ， 而 其 他 服务 可 以 被 允许 仅仅 间接 地 经 过 代理 。 这 完全 取决 于 用 户 实行 的 安全 策略 。 

因为 这 种 体系 结构 允许 数据 包 从 因特网 向 内 部 网 的 移动 ， 所 以 ， 它 的 设计 比 没有 外 部 
数据 包 能 到 达 内 部 网 络 的 双重 宿主 主机 体系 结构 似乎 是 更 冒 风险 。 实 际 上 ， 双 重 宿 主 主机 
体系 结构 在 防备 数据 包 从 外 部 网 络 穿 过 内 部 的 网 络 方面 , 也 容易 产生 失败 (因为 这 种 失败 类 
是 完全 出 乎 预料 的 ， 不 太 可 能 防备 黑客 侵袭 )。 进 而 言 之 ,保卫 路 由 器 比 保 卫 主机 较 易 实 
现 ， 因 为 它 提供 非常 有 限 的 服务 组 。 多 数 情况 下 ， 被 屏蔽 的 主机 体系 结构 比 双 重 宿主 主机 
体系 结构 具有 更 好 的 安全 性 和 可 用 性 。 


11.2.3 ”屏蔽 子 网 体系 结构 


屏蔽 子 网 体系 结构 (如 图 11-5 所 示 ) 添 加 额外 的 安全 层 到 屏蔽 主机 体系 结构 ， 即 通过 添 
加 周边 网 络 ， 更 进一步 地 把 内 部 网 络 和 外 部 网 络 (通常 是 Intermeb 隔 离开 。 屏 蔽 子 网 体系 结 
构 最 简单 的 形式 为 : 两 个 屏蔽 路 由 器 ， 每 一 个 都 连接 到 周边 网 络 。 一 个 位 于 周边 网 络 与 内 
部 网 络 之 间 ， 另 一 个 位 于 周边 网 络 与 外 部 网 络 (通常 为 Intermeb 之 间 。 这 样 ， 就 在 内 部 网 络 
与 外 部 网 络 之 间 形 成 了 一 个 “缓冲 区 ”， 即 所 谓 的 非 军事 区 (DeMilitarized Zone，DMZ)。 
为 了 侵入 用 这 种 体系 结构 构筑 的 内 部 网 络 ， 侵 袭 者 必须 通过 两 个 路 由 器 。 即 使 侵袭 者 侵入 
堡 又 主机， 它 将 仍然 必须 通过 内 部 路 由 器 。 


专用 网 


11-5 ”屏蔽 子 网 体系 结构 
下 面 将 对 上 面 提 到 的 几 个 名 词 进行 说 明 ， 具 体 如 下 。 
1.， 内 部 路 由 器 


内 部 路 由 器 (在 有 关 防 火 墙 的 著作 中 ， 有 时 被 称 为 阻塞 路 由 器 ) 保 护 内 部 的 网 络 ， 使 之 
免 受 Intemet 和 周边 网 络 的 侵犯 。 内 部 路 由 器 为 用 户 的 防火 墙 执行 大 部 分 的 数据 包 过 滤 工 
作 。 它 允许 从 内 部 网 到 Intermet 的 有 选择 的 出 站 服务 , 这 些 服 务 使 用 户 的 站 点 能 使 用 数据 包 
过 滤 ， 而 不 是 代理 服务 安全 支持 和 安全 提供 的 服务 。 内 部 路 由 器 所 允许 的 在 堡垒 主机 (在 周 
边 网 上 ) 和 用 户 的 内 部 网 之 间 的 服务 可 以 不 同 于 内 部 路 由 器 所 允许 的 在 Intemet 和 用 户 的 内 
部 网 之 间 的 服务 。 限 制 堡垒 主机 和 内 部 网 之 间 服 务 的 理由 ， 是 减少 由 此 而 导致 的 受到 来 自 
堡 驹 主机 侵袭 的 机 器 的 数量 。 
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2. 外 部 路 由 器 


在 理论 上 ， 外 部 路 由 器 (在 有 关 防 火 墙 著作 中 有 时 被 称 为 访问 路 由 器 ) 保 护 周边 网 和 内 
部 网 ,使 之 免 受 来 自 Intemet 的 侵犯 。 实际 上 ， 外 部 路 由 器 倾向 于 允许 几乎 任何 东西 从 周边 
网 出 站 ， 并 且 它 们 通常 只 执行 非常 少 的 数据 包 过 滤 。 保 护 内 部 机 器 的 数据 包 过 滤 规 则 在 内 
部 路 由 器 和 外 部 路 由 器 上 基本 上 应 该 是 一 样 的 ， 如 果 在 规则 中 有 允许 侵袭 者 访问 的 错误 ， 
错误 就 可 能 出 现在 两 个 路 由 器 上 。 

一 般 地 ， 外 部 路 由 器 由 外 部 群 组 提供 (如 用 户 的 Pntemet 供应 商 )， 同 时 ， 用 户 对 它 的 访 
问 被 限制 。 外 部 群 组 可 能 愿意 放 入 一 些 通用 型 数据 包 过 滤 规 则 ， 来 维护 路 由 器 ， 但 是 不 愿 
意 使 维护 复杂 或 使 用 频繁 变化 的 规则 组 。 


3. 周边 网 络 


周边 网 络 是 另 一 个 安全 层 , 是 在 外 部 网 络 与 用 户 的 被 保护 的 内 部 网 络 之 间 附加 的 网 络 。 
如 果 侵 柳 者 成 功 地 侵入 用 户 防 火 墙 的 外 层 领 域 ， 周 边 网 络 在 那个 侵袭 者 与 用 户 的 内 部 系统 
之 间 提 供 一 个 附加 的 保护 层 。 对 于 周边 网 络 ， 如 果 某 人 侵入 周边 网 上 的 堡垒 主机 ， 它 仅 能 
探听 到 周边 网 上 的 通信 。 因 为 所 有 周边 网 上 的 通信 来 自 或 通 往 堡 侄 主机 或 mtemet。 因 为 没 
有 严格 的 内 部 通信 ( 即 在 两 台 内 部 主机 之 间 的 通信 ， 这 通常 是 敏感 的 或 专 有 的 ) 能 越过 周边 
网 。 所 以 ， 即 使 堡垒 主机 被 损害 ， 而 内 部 的 通信 仍 将 是 安全 的 。 


11.2.4 ”防火 墙 体系 结构 的 组 合 形式 


在 构造 防火 墙 体系 时 ， 一 般 很 少 使 用 单一 的 技术 ， 通 常 都 是 多 种 解决 方案 的 组 合 。 这 
种 组 合 主要 取决 于 网 管 中 心 向 用 户 提供 什么 服务 ， 以 及 网 管 中 心 能 接受 什么 等 级 的 风险 。 
还 要 看 投资 经 费 、 技 术 人 员 的 水 平和 时 间 等 问题 。 
一 般 包 括 以 下 几 种 形式 : 
使 用 多 个 堡垒 主机 。 
合并 内 部 路 由 器 和 外 部 路 由 器 。 
合并 堡 合 主机 和 外 部 路 由 器 。 
合并 堡垒 主机 和 内 部 路 由 器 。 
使 用 多 个 内 部 路 由 器 。 
使 用 多 个 外 部 路 由 器 。 
使 用 多 个 周边 网 络 。 
使 用 双 宿主 主机 与 屏蔽 子 网 。 


11.3 ”防火 墙 技术 


11.3.1 防火墙 所 采用 的 主要 技术 
防火 墙 所 采用 的 主要 技术 有 数据 包 过 滤 、 应 用 网 关 和 代理 服务 等。 


算 1.， 包 过 滤 技 术 


网 包 过 滤 (packet Fien 技 术 是 在 网 络 层 中 对 数据 包 实施 有 选择 的 通过 。 依 据 系统 内 事先 
灾 | 设 定 的 过 滤 规则 , 检查 数据 流 中 每 个 数据 包 后 , 根据 数据 包 的 源 地 址 、 目 的 地 址 、 TCP/UDP 
全 | 源 端 口号 、TCP/UDP 目的 端口 号 及 数据 包头 中 的 各 种 标志 位 等 因素 ， 来 确定 是 否 允许 数据 
让 | 包 通 过 ， 其 核心 是 安全 策略 ， 即 过 滤 算法 的 设计 。 

例如 ， 用 于 特定 的 Intemet 服务 的 服务 器 驻 留 在 特定 的 端口 号 的 事实 (如 TCP 端口 23 
用 于 Telnet 的 连接 )， 使 包 过 滤 可 以 通过 简单 地 规定 适当 的 端口 号 ， 来 达到 阻止 或 多 许 一 定 
类 型 连接 的 目的 ， 并 可 进一步 组 成 一 套数 据 包 过 滤 规则 。 

包 过 滤 技术 作为 防火 墙 的 应 用 主要 有 三 类 ， -是 路 由 设备 在 完成 路 由 选择 和 数据 转发 
之 外 ， 同 时 进行 包 过 滤 ， 这 是 目前 比较 常用 的 方式 ; 二 是 在 工作 站 上 使 用 软件 进行 包 过 滤 ， 
这 种 方式 价格 较 贵 ， 三 是 在 一 种 称 为 屏蔽 路 由 器 的 路 由 设备 上 启动 包 过 滤 功能 。 

2， 应 用 网 关 技 术 


应 用 网 关 (Application Gateway) 技 术 是 建立 在 网 络 应 用 层 上 的 协议 过 滤 ， 它 针对 特别 的 
网 络 应 用 服务 协议 ， 即 数据 过 滤 协 议 ， 并 且 能 够 对 数据 包 分 析 ， 并 形成 相关 的 报告 。 应 用 
网 关 对 某 些 易于 登录 和 控制 所 有 输出 输入 的 通信 的 环境 给 予 严格 的 控制 ， 以 防 有 价值 的 程 
序 和 数据 被 窃取 。 它 的 另 一 个 功能 是 对 通过 的 信息 进行 记录 ， 如 什么 样 的 用 户 在 什么 时 间 
连接 了 什么 站 点 。 在 实际 工作 中 ， 应 用 网 关 一 般 由 专用 工作 站 系统 来 完成 。 

有 些 应 用 网 关 还 存储 Intemet 上 的 那些 被 频繁 使 用 的 页 面 。 当 用 户 请 求 的 页 面 在 应 用 网 
关 服 务 器 缓存 中 存在 时 ， 服 务 器 将 检查 所 缓存 的 页 面 是 否 是 最 新 的 版 本 ( 即 该 页 面 是 否 已 更 
新 )， 如 果 是 最 新 版 本 ， 则 直接 提交 给 用 户 ， 和 否则， 到 真正 的 服务 器 上 请 求 最 新 的 页 面 ， 然 
后 再 转发 给 用 户 。 


3. 代理 服务 器 技术 


代理 服务 器 (Proxy Server) 作 用 在 应 用 层 ， 它 用 来 提供 应 用 层 服务 的 控制 ， 起 到 内 部 网 
络 向 外 部 网 络 申请 服务 时 中 间 转 接 的 作用 。 内 部 网 络 只 接受 代理 提出 的 服务 请 求 ， 拒 绝 外 
部 网 络 其 他 节点 的 直接 请 求 。 

具体 地 说 ， 代 理 服务 器 是 运行 在 防火 墙 主机 上 的 专门 的 应 用 程序 ， 或 者 服务 器 程序 ， 
防火 墙 主机 可 以 是 具有 一 个 内 部 网 络 接口 和 一 个 外 部 网 络 接口 的 双 宿 主 主机 ， 也 可 以 是 一 
些 可 以 访问 Intemet 并 被 内 部 主机 访问 的 堡 又 主机。 这些 程序 接受 用 户 对 Internet 服务 的 请 
求 (如 FTP、Telnet)， 并 按照 一 定 的 安全 策略 将 它们 转发 到 实际 的 服务 器 。 代 理 提供 代替 连 
接 ， 并 且 充当 服务 的 网 关 。 

包 过 滤 技 术 和 应 用 网 关 是 通过 特定 的 逻辑 判断 ， 来 决定 是 否 允许 特定 的 数据 通过 的 ， 
其 优点 是 速度 快 、 实 现 方便 。 缺 点 是 审计 功能 差 ， 过 滤 规 则 的 设计 存在 矛盾 关系 ， 过 滤 规 
则 简单 ， 则 安全 性 差 ， 过 滤 规 则 复杂 ， 则 管理 困难 。 一 旦 判断 条 件 满足 ， 防 火 墙 内 部 网 络 
的 结构 和 运行 状态 便 “ 暴 露 ” 在 外 来 用 户 面前 。 代 理 技术 既 能 进行 安全 控制 ， 又 可 以 加 速 
访问 ， 能 够 有 效 地 实现 防火 墙 内 外 计算 机 系统 的 隔离 ， 安 全 性 好 ， 还 可 以 用 于 实施 较 强 的 
数据 流 监 控 、 过 滤 、 记 录 和 报告 等 功能 。 其 缺点 是 对 于 每 一 种 应 用 服务 都 必须 为 其 设计 一 
个 代理 软件 模块 ， 来 进行 安全 控制 ， 而 每 一 种 网 络 应 用 服务 的 安全 问题 各 不 相同 ， 分 析 困 
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难 ， 因 此 实现 也 困难 。 

在 实际 应 用 中 ， 构 筑 防 火 墙 的 “真正 的 解决 方案 ”很 少 采用 单一 的 技术 ， 通 常 是 多 种 
解决 不 同 问题 的 技术 的 有 机 组 合 。 往 往 需 要 解决 的 问题 依赖 于 想 要 客户 提供 什么 样 的 服务 
以 及 自身 愿意 接受 什么 等 级 的 风险 ， 具体 采用 何 种 技术 来 解决 问题 ， 则 依赖 于 时 间 、 金 钱 、 
专长 等 因素 。 

一 些 协议 (如 Telnet、SMTP) 能 更 有 效 地 处 理 数据 包 过 滤 ， 而 另 一 些 (如 FTP、Gopher、 
WWW) 能 更 有 效 地 处 理 代理 。 大 多 数 防火 墙 将 数据 包 过 滤 和 代理 服务 器 结合 起 来 使 用 。 


11.3.2 ”防火 墙 的 分 类 


1. 从 防火 墙 的 软 、 硬 件 形式 分 类 


按照 防火 墙 的 软 、 硬 件 形式 ， 防 火 墙 可 分 为 软件 防火 墙 、 硬 件 防 火 墙 以 及 芯片 级 防 
火 墙 。 

(1) 软件 防火 墙 

软件 防火 墙 运 行 于 特定 的 计算 机 ， 它 需要 客户 预先 安装 的 计算 机 操作 系统 的 支持 ， 俗 
称 “ 个 人 防火 墙 ”。 软 件 防 火 墙 就 像 其 他 的 软件 产品 一 样 ， 需 要 先 在 计算 机 上 安装 并 做 好 
配置 才 可 以 使 用 。 

(2) 硬件 防火 墙 

这 里 说 的 硬件 防火 墙 ， 是 指 “ 所 谓 的 硬件 防火 墙 ”， 之 所 以 加 上 “所 谓 ” 二 字 ， 是 针 
对 芯片 级 防火 墙 来 说 ， 它 们 最 大 的 差别 ， 在 于 是 否 基于 专用 的 硬件 平台 。 目 前 ， 市 场 上 大 
多 数 防火 墙 都 是 这 种 “所 谓 的 硬件 防火 墙 ”， 它 们 都 基于 PC 架构 ， 也 就 是 说 ， 它 们 与 普 
通 的 家 庭 用 的 PC 没有 太 大 区 别 。 在 这 些 PC 架构 防火 墙 上 运行 一 些 经 过 裁剪 和 简化 的 操作 
系统 ， 最 常用 的 有 老 版 本 的 Unix 和 Linux 系统 。 需 要 注意 的 是 ， 此 类 防火 墙 依然 会 受到 
OS(Operating System， 操 作 系 统 ) 本 身 安全 性 的 影响 。 

传统 硬件 防火 墙 一 般 至 少 具 备 三 个 端口 ， 分 别 用 于 连接 内 网 、 外 网 和 DMZ 区 ( 非 军 事 
化 区 )， 现 在 ， 一 些 新 的 硬件 防火 墙 扩展 了 端口 ， 常 见 的 四 端口 防火 墙 一 般 将 第 4 个 端口 作 
为 配置 端口 或 管理 端口 。 还 有 很 多 防火 墙 可 以 再 进一步 扩展 端口 的 数目 。 

(3) 芯片 级 防火 墙 

芯片 级 防火 墙 基于 专门 的 硬件 平台 。 专 有 的 ASIC 芯片 促使 它们 比 其 他 种 类 的 防火 墙 
速度 更 快 ， 处 理 能 力 更 强 ， 性 能 更 高 。 这 类 防火 墙 最 著名 的 厂商 有 NetScreen、Fortinet、 
Cisco 等 。 这 类 防火 墙 由 于 使 用 专门 的 OS( 操 作 系统 )， 因 此 ， 防 火 墙 本 身 的 漏洞 比较 少 ， 
不 过 ， 价 格 则 相对 较 贵 一 些 。 


2. 从 防火 墙 的 技术 实现 分 类 


依据 前 面 提 到 的 防火 墙 技术 ， 可 将 防火 墙 分 为 包 过 滤 防 火 墙 、 应 用 代理 防火 墙 和 状态 
检测 防火 墙 三 大 类 。 

(1) 包 过 滤 (Packet Filter) 防 火 墙 

包 过 滤 防 火 墙 的 应 用 原理 ， 就 是 对 每 个 接收 到 的 包 执行 拒绝 或 者 允许 的 命令 。 它 的 内 
部 有 一 套 严格 的 判定 规则 ， 对 每 一 个 数据 包 的 报头 都 进行 过 滤 ， 符 合 判定 规则 的 数据 包 就 
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会 由 路 由 信息 继续 转发 ， 与 判定 规则 不 匹配 的 就 会 被 丢弃 。 这 种 包 过 滤 的 命令 执行 ， 是 在 
IP 层 运作 的 ,在 该 层级 主要 的 判读 信息 包括 源 耳 地 址 、 协 议 类 型 (TCP 包 、UDP 包 、ICMP 
包 )、 目 的 耳 地 址 、 源 端口 、 目 的 端口 等 。 

除了 上 述 信息 作为 过 滤 筛 查 的 目标 外 ， 很 多 服务 业 包含 在 内 ， 这 样 的 服务 主要 是 特定 
的 服务 ， 它 会 在 端口 设置 固定 的 服务 目标 ， 所 有 进入 特定 服务 的 连接 都 会 被 阻 断 ， 然 后 防 
火 墙 就 会 对 特定 TCP/UDP 目的 端口 的 信息 进行 丢弃 。 

包 过 滤 防 火 墙 的 优点 是 : 设计 简单 ， 实 现成 本 低 ， 服务 对 用 户 透 明 ;， 处 理 数 据 包 的 速 
度 快 。 缺点 是 : 不 能 防范 针对 应 用 层 的 攻击 ; 不 能 防范 IP 地 址 欺骗 ,也 没有 身份 认证 功能 ; 
不 保留 连接 信息 ， 因 此 所 有 可 能 用 到 的 端口 (尤其 是 大 于 1024 的 端口 ) 都 必须 开放 ， 从 而 极 
大 地 增加 了 被 攻击 的 可 能 性 ， 随 着 网 络 规模 的 扩大 和 服务 增加 ， 管 理 员 想 继续 合理 地 配置 
过 滤 规 则 表 ， 会 越 来 越 困难 。 

(2) 应 用 代理 (Application Proxy) 防 火 墙 

应 用 代理 防火 墙 工 作 在 OSI 的 最 高 层 ， 即 应 用 层 。 其 特点 是 完全 “阻隔 ”了 网 络 通信 
流 ， 通 过 对 每 种 应 用 服务 编制 专门 的 代理 程序 ， 实 现 监视 和 控制 应 用 层 通信 流 的 作用 。 应 
用 代理 防火 墙 的 典型 网 络 结构 如 图 11-6 所 示 。 
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图 11-6 ”应 用 代理 防火 墙 

在 代理 型 防火 墙 技术 的 发 展 过 程 中 ， 主 要 经 历 了 两 个 不 同 的 版 本 ， 即 第 一 代 应 用 网 关 
型 代理 防火 墙 和 第 二 代 自 适应 代理 防火 墙 。 

第 一 代 应 用 网 关 (Application Gateway) 型 防火 墙 是 通过 一 种 代理 (Proxy) 技 术 参 与 到 
TCP 连接 的 全 过 程 。 从 内 部 发 出 的 数据 包 经 过 这 样 的 防火 墙 处 理 后 ， 就 好 像 是 源 于 防火 墙 
外 部 网 卡 一 样 ， 从 而 可 以 起 到 隐藏 内 部 结构 的 作用 。 这 种 类 型 的 防火 墙 被 网 络 安全 专家 和 
媒体 公认 为 是 最 安全 的 防火 墙 。 它 的 核心 技术 就 是 代理 服务 器 技术 。 

第 二 代 自 适应 代理 型 (Adaptive Proxy) 防 火 墙 是 最 近 几 年 才 得 到 广泛 应 用 的 一 种 新 型 防 
火 墙 类 型 。 它 可 以 结合 代理 类 型 防火 墙 的 安全 性 和 包 过 滤 防 火 墙 的 高 速度 等 优点 ， 在 毫 不 
损失 安全 性 的 基础 上 ， 将 代理 型 防火 墙 的 性 能 提高 十 倍 以 上 。 组 成 这 种 类 型 防火 墙 的 基本 
要 素 有 两 个 : 自 适 应 代理 服务 器 (Adaptive Proxy Server) 与 动态 包 过 滤器 (Dynamic Packet 
Filter)e 
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在 “ 自 适应 代理 服务 器 ”与 “动态 包 过 滤器 ”之 间 ， 存 在 一 个 控制 通道 。 在 对 防火 墙 
进行 配置 时 ， 用 户 仅 仅 将 所 需要 的 服务 类 型 、 安 全 级 别 等 信息 通过 相应 的 管理 界面 进行 设 
置 就 可 以 。 然 后 ， 自 适应 代理 就 可 以 根据 用 户 的 配置 信息 ， 决 定 是 使 用 代理 服务 从 应 用 层 
代理 请 求 ， 还 是 从 网 络 层 转发 包 。 如 果 是 后 者 ， 它 将 动态 地 通知 包 过 滤器 增 减 过 滤 规 则 ， 
满足 用 户 对 速度 和 安全 性 的 双重 需求 。 

代理 类 型 的 防火 墙 最 突出 的 优点 就 是 安全 。 由 于 它 工 作 在 最 高 层 ， 所 以 ， 它 可 以 对 网 
络 中 任何 一 层 数据 通信 进行 筛选 保护 ， 而 不 是 像 包 过 滤 防 火 墙 ， 只 是 对 网 络 层 的 数据 进 
行 过 滤 。 

另外 ， 代 理 型 防火 墙 所 采取 的 是 一 种 代理 机 制 ， 它 可 以 为 每 一 种 应 用 服务 建立 一 个 专 
门 的 代理 ， 所 以 内 、 外 部 网 络 之 间 的 通信 不 是 直接 的 ， 而 都 需要 先 经 过 代理 服务 器 审核 通 
过 后 ， 再 由 代理 服务 器 代为 连接 ， 根 本 没有 给 内 、 外 部 网 络 计 算 机 任何 直接 会 话 的 机 会 ， 
从 而 避免 了 入 侵 者 使 用 数据 驱动 类 型 的 攻击 方式 入 侵 内 部 网 络 。 

代理 型 防火 墙 的 最 大 缺点 ， 就 是 速度 相对 较 慢 ， 当 用 户 对 内 、 外 部 网 络 网 关 的 吞吐 量 
要 求 比较 高 时 ， 代 理 型 防火 墙 就 会 成 为 内 、 外 部 网 络 之 间 的 瓶颈 。 

(3) 状态 检测 防火 墙 (State Inspection Firewall) 

状态 检测 防火 墙 采用 了 动态 包 过 滤 技 术 ， 因 此 ， 也 被 称 为 动态 包 过 滤 防 火 墙 。 在 继承 
了 静态 包 过 滤 防 火 墙 优点 的 基础 上 ， 改 善 了 其 仅仅 考察 进出 网 络 的 数据 包 ， 而 不 关心 数据 
包 状 态 的 缺点 ， 在 防火 墙 的 核心 部 分 建立 状态 连接 表 ， 单 独 为 各 协议 实现 连接 跟踪 模块 ， 
进一步 分 析 连 接 中 的 信息 内 容 ， 充 分 保证 系统 的 安全 。 

状态 检测 防火 墙 首 先 利用 过 滤 规 则 表 进 行 数据 包 的 过 滤 ， 方 法 与 静态 包 过 滤 防 火 墙 相 
同 。 如 果 有 某 个 数据 包 被 允许 通过 防火 墙 ， 则 记 下 该 数据 包 的 相关 信息 ， 并 在 连接 状态 表 
中 为 本 次 通信 过 程 建立 一 个 连接 。 以 后 ， 当 同一 通信 过 程 中 的 后 续 数据 包 进 入 防火 墙 时 ， 
不 再 进行 规则 表 的 比较 ， 而 是 直接 使 用 连接 状态 表 进 行 匹 配 ， 以 检查 是 否 符合 连接 状态 的 
合理 变化 ， 并 决定 丢弃 还 是 通过 。 

与 应 用 代理 防火 墙 相 比 ， 状 态 监测 防火 墙 不 需要 中 断 直接 参与 通信 的 两 台 主 机 之 间 的 
连接 ， 对 网 络 速度 的 影响 较 小 。 与 包 过 滤 防 火 墙 相 比 ， 利 用 连接 状态 表 ， 检 查 会 话 状 态 的 
逻辑 性 ， 同 时 实时 控制 动态 端口 ， 避 免 了 静态 包 过 滤 防 火 墙 在 需要 使 用 动态 端口 时 存在 的 
安全 隐患 。 但 也 有 一 些 不 足 之 处 ， 具 体 表现 为 :安全 防护 功能 不 如 应 用 代理 防火 墙 ， 系 统 
处 理 效率 和 网 络 知 吐 能 力 不 如 包 过 滤 防 火 墙 。 

3. 从 防火 墙 结构 上 分 类 


从 防火 墙 结构 上 ， 其 可 以 分 为 单一 主机 防火 墙 、 路 由 集成 式 防火 墙 和 分 布 式 防火 墙 
三 种 。 

(1) 单一 主机 防火 墙 

单一 主机 防火 墙 是 最 传统 的 防火 墙 ， 独 立 于 其 他 网 络 设备 ， 它 位 于 网 络 边界 。 这 种 防 
火 墙 其 实 与 一 台 计算 机 结构 差不多 ， 同 样 包括 CPU、 内 存 、 主 板 、 磁 盘 等 基本 组 件 ， 且 主 
板 上 也 有 南 、 北 桥 芯 片 。 它 与 一 般 计算 机 最 主要 的 区 别 ， 就 是 单一 主机 防火 墙 都 集成 了 两 
个 以 上 的 以 太 网 卡 ， 因 为 它 需 要 连接 一 个 以 上 的 内 、 外 部 网 络 。 其 中 的 磁盘 就 是 用 来 存储 
防火 墙 所 用 的 基本 程序 ， 如 包 过 滤 程 序 和 代理 服务 器 程序 等 ， 有 的 防火 墙 还 把 日 志 记 录 也 


靠 


入 | 记录 在 磁盘 上 。 


(2) 路 由 集成 式 防火 墙 
随 着 防火 墙 技 术 的 发 展 及 应 用 需求 的 提高 , 单一 主机 防火 墙 现在 已 经 发 生 了 许多 变化 。 


网 
络 
安 | 最 明显 的 变化 就 是 在 许多 中 、 高 档 的 路 由 器 中 ， 已 集成 了 防火 墙 功能 ， 这 种 防火 墙 简称 为 
加 “路 由 集成 式 防火 墙 ”。 


(3) 分 布 式 防火 墙 
与 传统 边界 式 防火 墙 不 同 ， 分 布 式 防火 墙 (如 图 11-7 所 示 ) 把 公 网 与 内 部 网 都 视 为 不 可 


， 对 每 个 用 户 、 每 台 服务 器 都 进行 保护 ， 如 同 边界 防火 墙 对 每 个 网 络 进行 保护 一 样 。 分 
布 式 防 火 墙 是 一 种 主机 驻 留 式 的 安全 系统 ， 因 此 ， 可 设 定 针对 性 很 强 的 安全 策略 。 


芳 闪 好 尖 HH 
艺 闪 好 尖 册 


用 户 


图 11-7 分 布 式 防火 墙 
分 布 式 防火 墙 主要 由 网 络 防火 墙 、 主 机 防火 墙 和 管理 中 心 三 部 分 组 成 。 在 工作 时 ， 分 


布 式 防 火 墙 由 制定 防火 墙 接 入 控制 策略 的 中 心 通 过 编译 器 将 策略 语言 描述 转换 成 内 部 格 


式 ， 


形成 策略 文件 ， 中 心 管理 采用 系统 管理 工具 ， 把 策略 文件 分 发 给 “内 部 ”主机 ， 而 后 


“内 部 ”主机 将 从 两 个 方面 (一 是 根据 人 P 安全 协议 ， 二 是 根据 服务 器 端的 策略 文件 ) 判 定 是 
否 接 受 收 到 的 包 。 


4. 按 防火 墙 的 应 用 部 署 位 置 分 类 

依据 防火 墙 的 部 署 位 置 ， 可 将 其 分 为 边界 防火 墙 、 个 人 防火 墙 和 混合 防火 墙 三 大 类 。 
(1) 边界 防火 墙 

边界 防火 墙 是 最 传统 的 防火 墙 ， 它 们 位 于 内 、 外 部 网 络 的 边界 ， 所 起 的 作用 是 对 内 、 


外 部 网 络 实施 隔离 ， 保 护 边 界 内 部 网 络 。 这 类 防火 墙 一 般 都 是 硬件 类 型 的 ， 价 格 较 贵 ， 性 
能 较 好 。 


(2) 个 人 防火 墙 
个 人 防火 墙 安装 于 单 台 主机 中 ， 防 护 的 也 只 是 单 台 主机 。 这 类 防火 墙 应 用 于 广大 的 个 


人 人 用户， 通常 为 软件 防火 墙 ， 价 格 最 便宜 ， 性 能 也 最 差 。 
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(3) 混合 防火 墙 

混合 防火 墙 可 以 说 是 “分 布 式 防火 墙 ” 或 者 “嵌入 式 防火 墙 ”， 它 是 一 整套 防火 墙 系 
统 ， 由 若干 个 软 、 硬 件 组 成 ， 分 布 于 内 、 外 部 网 络 边界 和 内 部 各 主机 之 间 ， 既 对 内 、 外 部 
网 络 之 间 的 通信 进行 过 滤 ， 又 对 网 络 内 部 各 主机 间 的 通信 进行 过 滤 。 它 属于 最 新 的 防火 墙 
技术 之 一 ， 性 能 最 好 ， 价 格 也 最 高 。 


11.3.3 ”防火 墙 的 局 限 性 


有 了 防火 墙 ， 内 部 网 络 可 以 在 很 大 程度 上 免 受 攻击 。 但 是 ， 所 有 的 网 络 安全 问题 不 是 
都 可 以 通过 简单 地 配置 防火 墙 来 应 对 的 。 虽 然 当 单位 将 其 网 络 互联 时 ， 防 火 墙 是 网 络 安全 
重要 的 一 环 ， 但 并 非 全 部 ， 许 多 危险 是 在 防火 墙 能 力 范 围 之 外 的 。 


1. 不 能 防止 来 自 内 部 变节 者 和 不 经 心 的 用 户 们 带 来 的 威胁 


防火 墙 无 法 禁止 变节 者 或 公司 内 部 存在 的 间谍 将 敏感 数据 拷贝 到 软盘 或 磁盘 上 ， 并 将 
其 带 出 公司 。 防 火 墙 也 不 能 防范 这 样 的 攻击 : 伪装 成 超级 用 户 或 诈 称 新 员工 ， 从 而 劝说 没 
有 防范 心理 的 用 户 公开 口令 或 授予 其 临时 的 网 络 访问 权限 。 所 以 ， 必 须 对 员工 进行 教育 ， 
让 他 们 了 解 网 络 攻击 的 各 种 类 型 , 并 懂得 保护 自己 的 用 户口 令 和 周期 性 变换 口令 的 必要 性 。 
2. 无 法 防范 通过 防火 墙 以 外 的 其 他 途径 的 攻击 


防火 墙 能 够 有 效 地 防止 通过 它 进 行 传输 的 信息 ， 但 不 能 防止 不 通过 它 而 传输 的 信息 。 
例如 ， 在 一 个 被 保护 的 网 络 上 有 一 个 没有 限制 的 拨 出 存在 ， 内 部 网 络 上 的 用 户 就 可 以 直接 
通过 SLIP 或 PPP 连接 进入 Intemet。 聪 明 的 用 户 可 能 会 对 需要 附加 认证 的 代理 服务 器 感到 
厌烦 ， 因 而 向 ISP 购买 直接 的 SLIP 或 PPP 连接 ， 从 而 试图 绕 过 由 精心 构造 的 防火 墙 系统 
提供 的 安全 系统 ， 这 就 为 从 后 门 攻击 创造 了 极 大 的 可 能 。 网 络 上 的 用 户 必 须 了 解 这 种 类 型 
的 连接 对 于 一 个 有 全 面 安全 保护 的 系统 来 说 ， 是 绝对 不 允许 的 。 

3. 不 能 防止 传送 已 感染 病毒 的 软件 或 文件 


这 是 因为 病毒 的 类 型 太 多 ， 操 作 系统 也 有 多 种 ， 编 码 与 压缩 二 进 制 文件 的 方法 也 各 不 
相同 ， 所 以 不 能 期 望 mternet 防火 墙 去 对 每 一 个 文件 进行 扫描 ， 查 出 潜在 的 病毒 。 对 病毒 特 
别 关 心 的 机 构 应 在 每 个 桌面 部 署 防 病毒 软件 ， 防 止 病毒 从 软盘 或 其 他 来 源 进入 网 络 系统 。 

4. 无 法 防范 数据 驱动 型 的 攻击 

数据 驱动 型 的 攻击 从 表面 上 看 是 无 害 的 数据 被 邮寄 或 拷贝 到 Intemet 主机 上 .但 一 旦 执 
行 ， 就 开始 攻击 。 例 如 ， 一 个 数据 型 攻击 可 能 导致 主机 修改 与 安全 相关 的 文件 ， 使 得 入 侵 
者 很 容易 获得 对 系统 的 访问 权 。 后 面 我 们 将 会 看 到 ， 在 堡 爸 主 机 上 部 署 代 理 服务 器 是 禁止 
从 外 部 直接 产生 网 络 连接 的 最 佳 方式 ， 并 能 减少 数据 驱动 型 攻击 的 威胁 。 


11.4 防火墙 的 创建 


有 时 ， 为 了 保护 自己 的 电脑 不 被 黑客 或 敌 方 入 侵 ， 我 们 需要 自己 创建 一 个 防火 墙 。 一 


筑 | 般 来 说 ， 创 建 一 个 防火 墙 系统 需要 6 步 。 
机 (1) 制定 安全 策略 。 

各 (2) 搭建 安全 体系 结构 。 

安 (3) 制定 规则 次 序 。 
大 


其 (4) 落实 规则 集 。 
础 (5) 注意 更 换 控制 。 

(6) 做 好 审计 工作 。 

在 建造 防火 墙 时 ， 一 般 很 少 用 单一 的 技术 ， 通 常 是 多 种 解决 不 同 问题 的 技术 的 组 合 。 
这 种 组 合 主要 取决 于 网 管 中 心 向 用 户 提供 什么 样 的 服务 ， 以 及 网 管 中 心 能 接受 什么 等 级 的 
风险 。 采 用 哪 种 技术 主要 取决 于 经 费 、 投 资 的 大 小 或 技术 人 员 的 技术 、 时 间 等 因素 。 

常用 的 防火 墙 体系 结构 的 组 合 形式 如 下 : 

@ 使 用 多 堡垒 主机 。 

@ ”合并 内 部 路 由 器 与 外 部 路 由 器 。 

@ 合并 堡垒 主机 与 外 部 路 由 器 。 

@ 合并 堡垒 主机 与 内 部 路 由 器 。 
@ ”使 用 多 台 内 部 路 由 器 。 
二 
[2 
二 


使 用 多 台 外 部 路 由 器 。 
使 用 多 个 周边 网 络 。 
使 用 双重 宿主 机 和 屏蔽 子 网 。 
鉴于 自身 知识 和 能 力 的 局 限 性 ， 很 多 时 候 ， 会 直接 选择 购买 适合 自己 需求 的 防火 墙 。 
在 购买 防火 墙 时 ， 需 要 遵循 下 面 一 些 注意 事项 : 
@ 可靠 性 。 
防火 墙 的 体系 结构 。 
技术 指标 。 
安装 和 配置 。 
扩展 性 。 
可 升级 性 。 
兼容 性 。 
高 效 性 。 
界面 友好 。 


11.5 ”防火 墙 技术 的 应 用 


随 着 一 些 单位 因 业 务 量 的 增多 ， 对 计算 机 网 使 用 的 需求 也 不 断 增多 ， 尤 其 是 对 计算 机 
网 络 安全 性 要 求 也 越 来 越 高 , 使 得 计算 机 系统 中 安装 防火 墙 需要 考虑 的 问题 也 在 逐渐 增多 。 
不 仅 要 对 防火 墙 的 价格 、 功 能 等 要 素 进行 分 析 ， 还 要 对 防火 墙 的 稳定 性 、 安 全 性 及 管理 维 
护 等 进行 分 析 。 

为 了 更 好 地 满足 相应 企业 的 需求 ， 在 设计 的 时 候 ， 可 以 用 两 个 不 同 的 ISP 作为 上 网 线 
路 ， 但 出 于 成 本 考虑 ， 不 同 线路 分 别 配置 防火 墙 和 路 由 器 设备 会 增加 企业 在 硬件 方面 的 资 
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金 投入 ， 也 会 影响 其 效率 。 因 此 ， 在 对 防火 墙 进行 设计 的 时 候 ， 应 该 以 硬件 防火 墙 为 主 ， 
采用 线路 防火 墙 、 软 件 防火 墙 作 为 备用 防火 墙 方案 。 

针对 硬件 防火 墙 ， 一 些 企业 采用 的 是 Netscreen-SGT 产品 ， 这 种 产品 能 为 企业 提供 性 
能 丰富 且 安 全 的 解决 方案 。 毕竟 它 是 由 IPS、 防 黑客 、 防 垃圾 邮件 和 Web 过滤 组 成 的 UIM 
安全 特性 ， 不 仅 可 以 避免 网 络 蠕虫 、 间 谍 软件 、 特 洛 伊 木马 的 攻击 ， 还 可 以 避免 恶意 软件 
和 黑客 的 攻击 ， 对 于 那些 网 络 需 求 量 较 大 的 企业 比较 适用 ， 其 在 实际 使 用 过 程 中 能 通过 有 
效 负载 安全 性 来 保证 硬件 连接 环境 。 

针对 软件 防火 墙 ， 企 业 常会 采用 Microsoft 的 ISAServer 软件 。 这 种 防火 墙 的 市 场 使 用 
反响 比较 好 ， 也 可 以 通过 状态 数据 包 过 滤 和 链 路 过 滤 ， 使 企业 免 受 新 型 攻击 。 状 态 数据 包 
过 滤 确 定 后 ， 是 允许 网 络 数据 受 保护 的 ， 如 果 状 态 过 滤 动 态 端口 是 需要 打开 的 ， 其 在 通信 
结束 后 ， 会 将 这 些 端 口 关 闭 ， 就 会 与 链 路 层 安 全 动态 数据 包 过 滤 相配 合 ， 以 保证 安全 性 和 
易 用 性 。 同 时 ， 还 可 以 将 经 过 防火 墙 的 活动 记录 下 来 ， 主 要 记录 和 报告 企业 成 员 的 活动 。 

使 用 这 种 集中 记录 和 报告 的 方式 ， 既 能 简化 用 户 对 用 户 、 组 的 搜寻 ， 也 能 简化 对 服务 
器 、 网 络 信息 的 搜寻 ， 再 通过 用 界面 、 向 导 、 模 板 和 相应 的 管理 工具 ， 就 能 直接 为 用 户 提 
供 相 应 的 服务 。 


本 章 小 结 


本 章 主要 从 基本 概念 、 工 作 方式 、 分 类 、 体 系 结构 等 几 个 方面 ， 对 防火 墙 进行 了 阐述 。 
希望 通过 对 本 音 内 容 的 阅读 与 学 习 ， 读 者 能 够 对 防火 墙 的 工作 方式 、 基 本 工作 原理 有 一 个 
新 的 认识 。 另 外 ， 能 够 对 典型 的 包 过 滤 防 火 墙 与 应 用 代理 防火 墙 的 工作 原理 、 特 点 等 有 一 
个 深入 的 了 解 。 对 于 本 章 中 所 出 现 的 防火 墙 体系 结构 与 分 布 式 防火 墙 一 节 ， 有 能 力 的 读者 
可 自行 查阅 其 他 更 为 丰富 的 资料 进行 了 解 。 


. 什么 是 防火 墙 ? 计算 机 防火 墙 的 种 类 有 哪些 ? 

. 典型 的 防火 墙 体 系 结构 主要 有 哪 几 种 ”它们 的 工作 原理 分 别 是 什么 ? 

. 什么 是 防火 墙 技术 ? 常用 的 技术 有 哪些 ? 

. 简 述 防火 墙 的 优 缺点 。 

. 通过 对 本 章 内 容 的 学 习 ， 请 以 “防火 墙 未 来 的 发 展 趋势 ”为 题 ， 写 一 篇 不 少 于 500 
字 的 小 论文 。 


风 本 mmPPD 一 
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第 12 章 系统 入 侵 检 测 与 预防 


在 网 络 安全 领域 ， 随 着 黑客 应 用 技术 的 不 断 “ 傻 瓜 化 ”， 入 侵 检 测 系统 (IDS) 的 地 位 正 
在 逐渐 增加 。 一 个 网 络 中 ， 只 有 有 效 地 实施 IDS， 才 能 敏锐 地 察觉 攻击 者 的 侵犯 行为 ， 才 
能 防 患 于 未 然 。 


12.1 入 侵 检 测 


入 侵 检测 (Intrusion Detection)， 顾 名 思 义 ， 就 是 对 入 侵 行为 的 发 觉 。 入 侵 检测 的 思想 源 
于 传统 的 系统 审计 ， 但 拓宽 了 传统 审计 的 概念 ， 它 以 近乎 不 间断 的 方式 进行 安全 检测 ， 从 
而 形成 一 个 连续 的 检测 过 程 。 它 通过 收集 和 分 析 网 络 行为 、 安 全 日 志 、 审 计数 据 、 网 络 上 
可 以 获得 的 其 他 信息 以 及 计算 机 系统 中 若干 关键 点 的 信息 ， 检 查 网 络 或 系统 中 是 否 存在 违 
反 安 全 策略 的 行为 和 被 攻击 的 迹象 。 

入 侵 检测 作为 一 种 积极 主动 的 安全 防护 技术 ， 提 供 了 对 内 部 攻击 、 外 部 攻击 和 误 操作 
的 实时 保护 ， 在 网 络 系统 受到 危害 之 前 ， 拦 截 和 响应 入 侵 ， 因 此 ， 被 认为 是 防火 墙 后 的 第 
二 道 安 全 闸门 ， 在 不 影响 网 络 性 能 的 情况 下 能 对 网 络 进行 监测 。 

入 侵 检测 的 原理 如 图 12-1 所 示 。 


特定 行为 模式 数据 提取 


图 12-1 入 侵 检 测 的 原理 
入 侵 检 测 通过 执行 下 列 任务 来 实现 : 
监视 、 分 析 用 户 及 系统 活动 。 
系统 构造 和 弱点 的 审计 。 
异常 行为 模式 的 统计 分 析 。 
识别 反映 已 知 进攻 的 活动 模式 并 向 相关 人 士 报警 。 
评估 重要 系统 和 数据 文件 的 完整 性 。 
操作 系统 的 审计 跟踪 管理 ， 并 识别 用 户 违反 安全 策略 的 行为 。 


机 12.2 入侵 检测 系统 


发 入 侵 检测 系统 (Intrusion Detection System，IDS) 是 一 种 对 网 络 传输 进行 即时 监视 ， 在 发 
全 现 可 疑 传输 时 发 出 警报 或 者 采取 主动 反应 措施 的 网 络 安全 设备 ， 它 与 其 他 网 络 安全 设备 的 
础 | 不 同 之 处 在 于 ，IDS 是 一 种 积极 主动 的 安全 防护 技术 。 

IDS 最 早出 现 于 1980 年 4 月 。20 世纪 80 年 代 中 期 ，IDS 逐渐 发 展 成 为 入 侵 检 测 专家 
系统 (IDES)。1990 年 , IDS 分 化 为 基于 网 络 的 IDS 和 基于 主机 的 IDS。 后 又 出 现 分 布 式 IDS。 
目前 ，IDS 发 展 迅速 ， 已 有 人 宣称 IDS 可 以 完全 取代 防火 墙 。 


12.2.1 入 侵 检 测 系统 概述 


进行 入 侵 检 测 的 软件 与 硬件 的 组 合 , 构成 入 侵 检测 系统 (Intrusion Detection System)。 与 
其 他 安全 产品 不 同 的 是 ， 入 侵 检 测 系统 需要 更 多 的 智能 ， 它 必须 具备 将 得 到 的 数据 进行 分 
析 并 得 出 有 用 结果 的 能 力 。 

入 侵 检测 系统 (IDS) 是 计算 机 的 监视 系统 ， 它 通过 实时 监视 系统 ， 一 旦 发 现 异 常情 况 ， 
就 发 出 警告 。IDS 入 侵 检测 系统 按 信息 来 源 的 不 同和 检测 方法 的 差异 分 为 几 类 : 根据 信息 
来 源 ， 可 分 为 基于 主机 的 IDS 和 基于 网 络 的 IDS; 根据 检测 方法 ， 又 可 分 为 异常 入 侵 检 测 
和 滥用 入 侵 检 测 。 不同 于 防火 墙 , IDS 入 侵 检测 系统 是 一 个 监听 设备 ， 没 有 跨 接 在 任何 链 路 
上 ， 无 须 网 络 流量 流 经 它 便 可 以 工作 。 因 此 ， 对 IDS 的 部 署 ， 唯 一 的 要 求 是 : IDS 应 当 挂 
接 在 所 有 所 关注 流量 都 必须 流 经 的 链 路 上 。 在 这 里 ，“ 关 注 流量 ” 指 的 是 来 自 高 危 网 络 区 
域 的 访问 流量 和 需要 进行 统计 、 监 视 的 网 络 报 文 。 在 如 今 的 网 络 拓扑 中 ， 已 经 很 难 找到 以 
前 的 Hub 式 的 共享 介质 冲突 域 的 网 络 ， 绝 大 部 分 的 网 络 区 域 都 已 经 全 面 升级 到 交换 式 的 网 
络 结构 。 因 此 ，IDS 在 交换 式 网 络 中 的 位 置 一 般 选 择 在 尽 可 能 靠近 攻击 源 或 者 尽 可 能 靠近 
受 保护 资源 的 位 置 。 这 些 位 置 通常 是 服务 器 区 域 的 交换 机 上 、Intemet 接 入 路 由 器 之 后 的 第 
一 台 交 换 机 上 、 重 点 保护 网 段 的 局 域 网 交换 机 上 。 由 于 入 侵 检测 系统 的 市 场 在 近 几 年 中 飞 
速 发 展 , 许多 公司 投入 到 这 一 领域 上 来 .Venustech( 启 明星 辰 )Intermet Security System(ISS)、 
思科 、 赛 门 铁 克 等 公司 都 推出 了 自己 的 产品 。 


12.2.2 入侵 检 测 的 实现 


一 般 的 入 侵 检测 过 程 分 为 三 部 分 : 信息 收集 、 信 息 分 析 和 结果 处 理 。 

信息 收集 : 入 侵 检测 的 第 一 步 是 信息 收集 ， 收 集 内 容 包括 系统 、 网 络 、 数 据 及 用 户 活 
动 的 状态 和 行为 。 由 放置 在 不 同 网 段 的 传感器 或 不 同 主机 的 代理 来 收集 信息 ， 包 括 系统 和 
网 络 日 志文 件 、 网 络 流量 、 非 正常 的 目录 和 文件 改变 、 非 正常 的 程序 执行 。 

信息 分 析 : 收集 到 的 有 关系 统 、 网 络 、 数 据 及 用 户 活动 的 状态 和 行为 等 信息 ， 被 送 到 
检测 引擎 ， 检 测 引擎 驻 留 在 传感器 中 ， 一 般 通过 三 种 技术 手段 进行 分 析 ， 即 模式 匹配 、 统 
计 分 析 和 完整 性 分 析 。 当 检测 到 某 种 误 用 模式 时 ， 产 生 一 个 告警 并 发 送 给 控制 台 。 

结果 处 理 : 控制 台 按照 告警 产生 预先 定义 的 响应 ， 采 取 相 应 措施 ， 可 以 是 重新 配置 路 
由 器 或 防火 墙 、 终 止 进程 、 切 断 连 接 、 改 变 文 件 属性 ， 也 可 以 只 是 简单 告警 。 


ED 
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由 于 网 络 环 境 和 系统 安全 策略 的 差异 ， 入 侵 检 测 系 统 在 具体 实现 上 也 有 所 不 同 。 从 系 
统 构成 上 看 ， 入 侵 检测 系统 应 包括 事件 提取 、 入 侵 分 析 、 入 侵 响 应 和 远程 管理 4 大 部 分 ， 
另外 ， 还 可 能 结合 安全 知识 库 、 数 据 存储 等 功能 模块 ， 提 供 更 为 完善 的 安全 检测 及 数据 分 
析 功 能 。 

如 图 12-2 所 示 为 一 般 的 入 侵 检测 系统 的 结构 。 


响应 处 理 


| 知识 库 上 入 侵 分 析 | 一 -| ss | 
要 
数据 提取 | 


原始 数据 流 


12-2 “入侵 检测 系统 的 结构 


关于 入 侵 检 测 的 实现 ， 依 靠 各 种 入 侵 检测 技术 ， 常 用 的 入 侵 检测 技术 说 明 如 下 。 

异常 检测 模型 (Anomaly Detection): 检测 与 可 接受 行为 之 间 的 偏差 。 如 果 可 以 定义 每 项 
可 接受 的 行为 ， 那 么 每 项 不 可 接受 的 行为 就 应 该 是 入 侵 。 首 先 总 结 正常 操作 应 该 具有 的 特 
征 (用 户 特 征 )， 当 用 户 活动 与 正常 行为 有 重大 偏离 时 ， 即 被 认为 是 入 侵 。 这 种 检测 模型 漏 
报 率 低 ， 误 报 率 高 。 因 为 不 需要 对 每 种 入 侵 行 为 进行 定义 ， 所 以 能 有 效 检测 未 知 的 入 侵 。 

误 用 检测 模型 (Misuse Detection): 检测 与 已 知 的 不 可 接受 行为 之 间 的 匹配 程度 。 如 果 
可 以 定义 所 有 的 不 可 接受 行为 ， 那 么 每 种 能 够 与 之 匹配 的 行为 都 会 引起 告警 。 收 集 非 正常 
操作 的 行为 特征 ， 建 立 相关 的 特征 库 ， 当 监测 的 用 户 或 系统 行为 与 库 中 的 记录 相 匹 配 时 ， 
系统 就 认为 这 种 行为 是 入 侵 。 这 种 检测 模型 误 报 率 低 、 漏 报 率 高 。 对 于 已 知 的 攻击 ， 它 可 
以 详细 、 准 确 地 报告 出 攻击 类 型 ， 但 是 ， 对 未 知 攻击 却 效果 有 限 ， 且 特征 库 必须 不 断 更 新 。 

其 他 检测 技术 : 这 些 技术 不 能 简单 地 归 类 为 误 用 检测 或 是 异常 检测 ， 而 是 提供 了 一 种 
有 别 于 传统 入 侵 检 测 视角 的 技术 层次 ,例如 免疫 系统 、 基 因 算 法 、 数 据 挖掘 、 基 于 代理 (Agent) 
的 检测 等 ， 它 们 或 者 提供 了 更 具 普 遍 意义 的 分 析 技 术 ， 或 者 提出 了 新 的 检测 系统 架构 ， 因 
此 ， 无 论 对 于 误 用 检测 还 是 异常 检测 来 说 ， 都 可 以 得 到 很 好 的 应 用 。 


12.2.3 ”入 侵 检测 系统 的 分 类 


由 于 功能 和 体系 结构 的 复杂 性 ， 入 侵 检测 按照 不 同 的 标准 ， 有 多 种 分 类 方法 。 可 分 别 
从 数据 源 、 检 测 理论 、 检 测 时 效 三 个 方面 ， 来 描述 入 侵 检测 系统 的 类 型 。 

(D 基于 数据 源 的 分 类 

通常 可 以 把 入 侵 检测 系统 分 为 5 类 ， 即 基于 主机 、 基 于 网 络 、 混 合 型 、 基 于 网 关 的 入 
侵 检 测 系统 以 及 文件 完整 性 检查 系统 。 

基于 主机 : 系统 分 析 的 数据 是 计算 机 操作 系统 的 事件 日 志 、 应 用 程序 的 事件 日 志 、 系 
统 调用 、 端 口 调用 和 安全 审计 记录 。 主 机 型 入 侵 检测 系统 保护 的 ， 一 般 是 所 在 的 主机 系统 。 
是 由 代理 (Agenb 来 实现 的 ， 代 理 是 运行 在 目标 主机 上 小 的 可 执行 程序 ， 它 们 与 命令 控制 台 


3 


PF 


(Console) 通 信 。 

基于 网 络 : 系统 分 析 的 数据 是 网 络 上 的 数据 包 。 网 络 型 入 侵 检测 系统 担负 着 保护 整个 
网 段 的 任务 , 基于 网 络 的 入 侵 检测 系统 由 遍及 网 络 的 传感器 (Sensor) 组 成 ， 传 感 器 是 一 台 将 
以 太 网卡 置 于 混杂 模式 的 计算 机 ， 用 于 嗅 探 网 络 上 的 数据 包 。 

混合 型 : 基于 网 络 和 基于 主机 的 入 侵 检测 系统 都 有 不 足 之 处 ， 会 造成 防御 体系 的 不 全 
面 ， 而 综合 了 基于 网 络 和 基于 主机 的 混合 型 入 侵 检 测 系统 ， 既 可 以 发 现 网 络 中 的 攻击 信息 ， 
也 可 以 从 系统 日 志 中 发 现 异 常情 况 。 

文件 完整 性 检查 系统 : 检查 计算 机 中 自 上 次 检查 后 文件 的 变化 情况 。 文 件 完整 性 检查 
系统 保存 有 每 个 文件 的 数字 文摘 数据 库 ， 每 次 检查 时 ， 它 重新 计算 文件 的 数字 文摘 ， 并 将 
它 与 数据 库 中 的 值 相 比 较 ， 如 不 同 ， 则 文件 已 被 修改 ， 若 相同 ， 文 件 则 未 发 生变 化 。 

(2) 基于 检测 理论 的 分 类 

从 具体 的 检测 理论 上 来 说 ， 入 侵 检测 又 可 分 为 异常 检测 和 误 用 检测 。 

异常 检测 (Anomaly Detection) 指 根据 使 用 者 的 行为 或 资源 使 用 状况 的 正常 程度 来 判断 
是 否 入 侵 ， 而 不 依赖 于 具体 行为 是 否 出 现 来 检测 。 

误 用 检测 (Misuse Detection) 指 运用 已 知 的 攻击 方法 ， 根 据 已 定义 好 的 入 侵 模 式 ， 通 过 
判断 这 些 入 侵 模式 是 否 出 现 来 检测 。 

(3) 基于 检测 时 效 的 分 类 

IDS 在 处 理 数据 的 时 候 ， 可 以 采用 实时 在 线 检测 方式 ， 也 可 以 采用 批 处 理 方式 ， 定 时 
对 处 理 的 原始 数据 进行 离线 检测 ， 这 两 种 方法 各 有 特点 (如 图 12-3 所 示 )。 


Es 


以 学 沁 淮 一 


ES 


用 户 的 当前 操作 | 一 用 户 的 历史 记录 
! 
入 侵 
专家 经 验 ~ 检测 
断 开 连接 
记录 证 据 
靳 天 连 交 数据 恢复 
记录 证 据 
数据 恢复 


(a) 实时 入 侵 检 测 的 功能 原理 图 (b) 事后 入 侵 检测 的 功能 原理 图 


12-3 实时、 事后 入 侵 检测 的 原理 
离线 检测 方式 将 一 段 时 间 内 的 数据 存储 起 来 ， 然 后 定时 发 给 数据 处 理 单元 进行 分 析 ， 
如 果 在 这 段 时 间 内 有 攻击 发 生 ， 就 报警 。 在 线 检 测 方式 的 实时 处 理 是 大 多 数 IDS 所 采用 的 
办 法 ， 由 于 计算 机 硬件 速度 的 提高 ， 使 得 对 攻击 的 实时 检测 和 响应 成 为 可 能 。 
12.2.4 ”入 侵 检测 系统 的 标准 
从 20 世纪 90 年 代 到 现在 ， 入 侵 检测 系统 的 研发 呈现 出 百家争鸣 的 繁荣 局 面 ， 并 在 智 
能 化 和 分 布 式 两 个 方向 取得 了 长 足 的 进展 。 为 了 提高 IDS 产品 、 组 件 及 与 其 他 安全 产品 之 
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间 的 互 操作 性 ，DARPA 和 IETF 的 入 侵 检测 工作 组 IDWG) 发 起 并 制订 了 一 系列 建议 草案 ， 
从 体系 结构 、API、 通 信 机 制 、 语 言 格式 等 方面 来 规范 IDS 的 标准 。 

(1) IETF 的 IDWG 

DWG 定义 了 用 于 入 侵 检 测 与 响应 IDR) 系 统 之 间或 与 需要 交互 的 管理 系统 之 间 的 信息 
共享 所 需要 的 数据 格式 和 交换 规程 。 

IDWG 提出 了 三 项 建议 草案 : 入 侵 检测 消息 交换 格式 IDMEF)、 入 侵 检 测 交换 协议 
(IDXP)， 以 及 隧道 轮廓 (Tunnel Profile)。 

(2) CIDF 

CIDF 的 工作 集中 体现 在 4 个 方面 : IDS 的 体系 结构 、 通 信 机 制 、 描 述 语言 和 应 用 编程 
接口 API。 

CIDF 在 IDES 和 NIDES 的 基础 上 提出 了 一 个 通用 模型 ， 将 入 侵 检测 系统 分 为 4 个 基 
本 组 件 ， 事件 产生 器 、 事 件 分 析 器 、 响 应 单元 和 事件 数据 库 。 其 结构 如 图 12-4 所 示 。 

输出 : 对 事件 的 响应 

响应 单元 


输出 : 高 级 
中 断 事件 输出 : 事件 的 存储 信息 


事件 数据 库 


事件 产生 器 


输出 : 原始 或 
低级 事件 


输入 : 原始 事件 源 


12-4 ”CIDF 体系 的 结构 


(3) 国标 GB/T20275-2006 

2006 年 发 布 的 《信息 安全 技术 入 侵 检测 系统 技术 要 求 和 测试 评价 方法 》 规 定 了 入 侵 检 
测 系统 的 技术 要 求 和 测试 评价 方法 ， 技 术 要 求 包括 产品 功能 要 求 、 产 品 安全 要 求 、 产 品 保 
证 要 求 ， 并 提出 了 入 侵 检测 系统 的 分 级 要 求 。 

该 标准 适用 于 入 侵 检测 系统 的 设计 、 开 发 、 测 试 和 评价 。 


12.3 ”入 侵 检 测 软件 Snort 


1998 年 ，Martin Roesch 先生 用 C 语言 开发 了 开放 源 代码 的 入 侵 检测 系统 Snort。 迄 今 
为 止 ，Snort 已 发 展 成 为 一 个 具有 多 平台 (Multi-Platform)、 实 时 (Real-Time) 流 量 分 析 、 网 络 
IP 数据 包 (Pocket) 记 录 等 特性 的 强大 的 网 络 入 侵 检测 /防御 系统 (Network Intrusion Detection/ 
Prevention System)， 即 NIDS/NIPS。Snort 符合 通用 公共 许可 (GUN General Pubic License， 
GPL), 在 网 上 可 以 通过 免费 下 载 获 得 Snort, 并 且 只 需要 几 分 钟 , 就 可 以 安装 并 开始 使 用 它 。 
Snort 基于 libpcap。 这 里 将 简单 地 为 读者 介绍 Snort 的 安装 与 使 用 。 

安装 Snort 之 前 ， 需 要 安装 WinPcap 软件 ， 这 个 软件 下 载 后 ， 按 提示 逐步 安装 即 可 ， 
此 处 不 做 详细 介绍 。 
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小 软件 下 载 地 址 : http://www.winpcap.org/install/bin/WinPcap 4 1 2.exe 
加 (1) 安装 WinPcap 软件 
络 打开 安装 包 后 ， 逐 步 单 击 Next 按钮 即 可 。 如 图 12-5 所 示 为 软件 的 安装 界面 。 
之 会 YinpPcap 4.1.2 Setup 
> WinPcap 4.1.2 Installer 
WinPeap < to the Winpcap 4.1.2Instalaton Wizard 
This product is brought to you by A 


TECHNOLOGIES 


Packet Capturing and Network Analysis Solutions 


Ce 


12-5 WinPcap 软件 安装 界面 
直到 看 到 如 图 12-6 所 示 的 界面 时 ， 单 击 Finish 按钮 ， 完 成 WinPcap 安装 。 
生 vinpcap 4.1.2 Setup 


Completing the WinPcap 4.1.2 
Setup Wizard 


WinPcap 4. 1.2 has been nstalled on your computer, 


Chick Finish to dose this wizard. 


图 12-6 软件 安装 完成 界面 


(2) 安装 Snort 软件 
下 载 Snort 软件 ， 下 载 地 址 为 http://www.onlinedown.net/soft/4866.htm( 这 里 是 Windows 
各 版 本 系统 下 使 用 的 , 还 有 Linux 等 其 他 系统 使 用 的 版 本 ， 这 里 不 做 叙述 )。 如 图 12-7 所 示 
是 下 载 链接 中 关于 该 软件 的 介绍 。 

下 载 完 成 后 ， 就 开始 安装 了 ， 按 照 提 示 一 步 一 步 安 装 就 可 以 。 一 般 安 装 路 径 放 在 C 盘 
中 (此 处 就 是 在 C 盘 ， 这 比较 重要 ， 因 为 后 面 的 一 些 修改 要 根据 这 个 路 径 来 做 ， 否 则 会 安装 
类 败 )。 其 他 的 选择 保持 默认 就 可 以 了 。 
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加 Snort 2.9.3 


软件 闫 别 : 国外 软件 /防火 墙 类 软件 大 小 : 2477FB 

软件 授权 : 共享 版 气 指数 : 13050 国 

运行 环境 : Winxplvista/win7/2000/2003 软件 语 

更 新 时 间 : 2012-7-25 17:04:12 软 侍 评级 : 疤 公 友 妆 

出 品 人 :官方 网 站 联 系 人 : 见 关于 软件 
官方 快讯 : 华宇 认证 : 参 绿色 安全 软件 


加 12-7 ”软件 下 载 站 给 出 的 软件 介绍 
如 图 12-8 所 示 为 软件 的 安装 过 程 。 
合 Snort 2.9.3 Setup 
License Agreement 


Please review the lcense terms before instaling Snort 2.9.3. 


Press Page Down to see the rest of the agreement. 


[The text that folows is the GNU General Public License, Version 2 EL 3 
land governs your use, modification and/or distribution of SNOR: 


ee to Use any such revised and/or new versions under two different scenarios: 
1, Falure to Speafy,” Section 9 of the GPL V2 alows a lcensee of a 


If you accept the terms of the agreement, cick I Agree to continue, You must accept the 
agreement to install Snort 2.9,3, 


图 12-8 Snort 的 安装 过 程 
图 12-9 中 有 一 个 选项 ， 意 思 是 支持 IPv6， 需 要 的 话 就 勾 选 。 


B 


Snort 2.9.3 Setup 


Installation Options 
Select which configuration options you want installed 


Nullsoft Install 


图 12-9 选择 是 否 需要 支持 IPv6 


安装 完成 后 ， 在 Snort 目录 下 (这 里 为 C:\Snort) 有 backup 文件 夹 ， 如 图 12-10 所 示 。 


LE 


篇 C: \Snort 


机 文件 EF) 编辑 四、 查看 中 收 高 入 工具 中 帮助 中 3 
网 @ 所 四 座 | 记 扫 索 已 文 人 天 | 国 - 

[2 ~ 

本 地 址 四) [加 cvsnert 站 回 红 | 
女 

全 文件 和 文件 夹 任务 四 contrib | aoc 

大 加 剖 娃 一 个 新 文件 天 

而 TH 


liy 
fo) reles 
| Ee 


局 共 他 此 文件 天 


| poproc yules 
各] Uninstall. exe 


| las 


图 12-10 Snort 文件 夹 中 的 backup 文件 夹 


安装 规则 库 ， 这 是 Snort 软件 必 备 的 文件 ， 若 不 安装 ， 
软件 的 效力 将 大 打折 扣 。 下 载 地 址 为 https:/www.snort.org/ 
(需要 注册 ， 并 登录 ， 才 可 以 下 载 ， 否 则 会 报错 )。 下 载 后 ， 
将 它 解压 到 Snort 的 安装 - 些 原 本 存在 的 广 
件 ， 如 图 12-11 所 示 。 

(3) 测试 Snort 

查看 安装 情况 , 在 Windows 中 通过 cmd 命令 打开 控制 
台 窗 口 , 输入 ci\snort\bin\snort -W， 这 里 的 环境 和 和 ° se ls i 果 
如 图 12-12 所 示 ( 系 统 中 只 有 一 块 网 卡 ， 所 以 显示 的 是 1)。 


装 目录 中 ， 者 六 


汪 正 在 从 snortrules-snaps..。 同 ] 


于 基文 件 C:、\snor trales-snapshot-2 6. tar. 本 
正在 解 夺 ea . 


13588. txt 7% 
C ] 


已 用 时 间 
刺杀 时 间 


00:02:00 
00:02:10 


7% 
) 


暂停 中) 


] 枉 由. [LL 秽 ] 


12-11 Snort 规则 库 的 解压 


:Documents and Settings\hdministrator?c:NSnort\hbinvsnort-exe -Uy 


一 #>》 Snort? <*— 
Uersion 2.9.3-WIN32 GRE 《Build 37》 


By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-t 


Copyright 〈《C》 1998-2812 Sourcefire, Inc.. et al. 


Using PCRE ve 
Using ZLIB ve 


: 8.19 2919-96-25 


eauler> 


:Documents and Settings\Adninistrator> 


12-12 ”查看 本 机 Snort 环境 


在 该 窗口 下 继续 运行 cx\snort\bin\snort -v - 叉 ， 其 中 的 义 指 的 


所 以 命令 为 ci\snort\bin\snort -v -il(-i 和 1 之 间 没 有 空格 )。 


是 网 卡 编号 ， 作 者 的 是 1， 


运行 后 ， 屏 幕 一 直 在 滚动 ， 因 为 有 数据 被 捕获 ， 如 图 12-13 所 示 。 
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(4) Snort 的 日 志 
运行 日 志 模 式 ， 使 用 bat 批文 件 ， 命 名 为 SnortStart-Lbat， 内 容 如 下 : 


c:\snort\bin\snort -il -s -1 c:\snort\log\ -c c:\snort\etc\snort.conf 


AxxS* Seq: Bx3BF384E5 Ack: Bx589DF357 Win: BxFAF8 TcpLen: 
CP Options C1) 


28 DgnLen:48 DF 
: Bx3BF384E6 Win: Bx4478 Te 


je 
Win: BxFRFB Tcpl 


B89/03-14:42:57.483427 115.239.218 
CP TTL:128 T0S:BxB 1D:42757 IpLe 
efiPumw Seq: Bx3BP394E6 Ack: Bx5@9DF573 Win: BxFhPB TcpLen: 29 


图 12-13 ”软件 已 经 捕获 了 数据 包 
创建 的 文件 如 图 12-14 所 示 。 


外 SnortStart-1.bat - 记事 本 
文件 FE) 编辑 下 ) 格式 @) 查看 Q) 帮助 0) 


Fe:\snort\bin\snort -i1 -s -1 c:\snort\log\-c 
c:\snort\etc\snort .conf 


图 12-14 创建 相应 的 文件 及 文件 内 容 


创建 批 处 理 文件 后 ， 通 ; 

(5) 总 结 

至 此 ， 整 个 Snort 就 安装 完成 了 ， 这 是 一 个 很 简单 的 安装 测试 过 程 。 但 是 ，Snort 的 功 
能 并 不 像 我 们 测试 的 这 么 简单 ，Snort 只 是 一 个 平台 ， 安 装 好 后 ， 还 有 许多 强大 的 功能 ， 还 
可 以 完成 许多 的 工作 ， 这 里 就 不 一 一 演示 了 ， 有 兴趣 的 读者 可 以 自行 研究 。 


过 命令 行 运行 bat 文件， 如 图 12-15 所 示 。 
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lete DNS RR Types h1 INACTIVE 
Experinental DNS RR Types Alert: INACTIUE 
53 


rrules(613) threshold 《in rule) is deprecated; us 


图 12-15 运行 bat 文件 的 结果 


12.4 手工 入 侵 检测 


像 我 们 前 面 所 说 的 那样 ， 入 侵 检 测 技术 多 种 多 样 ， 恐 怕 很 多 读者 读 到 这 里 ， 都 已 经 跃 
跃 欲 试 了 ， 想 要 真正 将 入 侵 检 测 付 诸 实践 。 下 面 描述 几 个 最 简单 的 例子 供 读者 参考 。 


12.4.1 可疑 进程 查看 


例如 ， 现 在 有 一 个 木马 程序 ser.exe， 当 它 运行 后 ， 系 统 没有 任何 明显 的 特征 。 

但 是 ， 我 们 通过 系统 的 任务 管理 器 ， 可 以 看 到 其 正在 后 台 运 行 。 

具体 操作 如 下 ， 通 过 Ctrl+AlttDel 组 合 键 ， 可 以 调 出 任务 管理 器 ， 通 过 任务 管理 器 的 
进程 选项 卡 ， 可 以 找到 正在 运行 的 ser.exe， 如 图 12-16 所 示 。 


挟 Windows 任务 管理 器 
文件 FE) 选项 中) 查看 WW 关机 QD 帮助 中 
联网 | 用 户 


映像 名 称 
mnEinxrT exe 
Pectl. exe 
posteres. exe 
postgres. exe 
postgres. exe 
postares. exe 
posteres. exe 
Dostares sxe 
SGImeGuard. exe 
spoolsv. exe 
sqlservr. exe 
svehost. exe 
svehost. exe 
svehost. exe 


< 
口 显示 所 有 用 户 的 进程 入) 


00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
0 
00 
00 
00 
00 
0 


进程 数 : 47 CRPV 使 用 : 2% 提交 更 改 : 4318 / 1250M 


图 12-16 用 Windows 任务 管理 器 查看 可 疑 程序 
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12.4.2 文件 属性 被 修改 


例如 我 们 现在 有 一 个 正常 文件 ， 它 的 文件 名 为 1.txt。 有 一 个 恶意 脚本 hide.exe， 它 的 
功能 仅仅 是 将 1.txt 文件 隐藏 。 

在 我 们 没有 运行 恶意 脚本 时 ， 两 个 文件 的 状态 如 图 12-17 所 示 。 

在 我 们 运行 了 恶意 脚本 后 ， 产 生 的 结果 如 图 12-18 所 示 。 


三 文本 文档 
ow 
图 12-17 未 运行 恶意 脚本 时 图 12-18 ”运行 了 恶意 脚本 以 后 


这 个 脚本 是 一 个 C 语言 写成 的 小 程序 ， 我 们 来 分 析 一 下 这 个 程序 的 源 代码 : 


#include <stdio.h> // 包 含 了 标准 输入 输出 函数 
#include <windows .h> // 包 含 了 SetFileRttributes 函数 


main() // 程 序 的 入 口 
{ 


FILE *f; 
t= Sopomnl"l tw “ys // 以 可 写 的 方式 打开 1.txt 文件 
SetFileAttributes ("1.txt", FILE ATTRIBUTE HIDDEN); 


这 只 是 一 个 简单 的 小 程序 ， 也 许 你 觉得 它 并 不 具有 危害 性 ， 但 是 ， 这 个 程序 具有 很 大 
的 发 展 空间 ， 下 面 有 两 种 简单 的 思路 。 

(1) 在 这 段 程序 中 增加 一 段 代 码 ， 循 环 查 找 硬 盘 中 的 所 有 文件 ， 并 实现 将 其 隐藏 。 这 
样 ， 当 你 想 查找 一 些 文件 的 时 候 ， 却 发 现 所 有 文件 都 不 见 了 ， 是 否 也 是 个 不 小 的 麻烦 呢 。 

(2) 当 程 序 查找 所 有 文件 时 ， 并 不 只 是 将 其 隐藏 ， 而 是 修改 其 他 的 属性 ， 例 如 将 一 个 
原来 可 写 文件 设置 为 只 读 属性 ， 又 或 者 将 文件 设置 为 不 可 读 , 在 没有 适当 的 防护 的 情况 下 ， 
也 许 包 括 操作 系统 在 内 的 程序 都 会 出 现 大 大 小 小 的 问题 。 


12.4.3 ”CPU 负载 可 疑 


一 般 来 说 ， 系 统 遭 到 入 侵 后 ， 通 常会 被 恶意 执行 一 些 木马 或 者 远程 控制 程序 ， 往 往 会 
造成 CPU 负载 不 正常 的 情况 出 现 ， 这 里 给 出 一 个 C 语言 小 程序 ， 来 分 析 一 下 这 种 情况 。 
这 个 程序 的 源 代码 如 下 : 


#include <stdio.h> 
main() 
{ 
int i, sum=1; 
for(i=1; i<100000000000; i++) 
站 
sum = Sum * i; 


} 


算 程序 只 实现 一 个 很 简单 的 功能 ， 即 100000000000 的 阶乘 的 计算 ， 由 于 数字 过 大 ， 导 致 
机 | CPU 在 一 段 时 间 内 处 于 满 负 载 状态 ,通过 任务 管理 器 , 即 可 以 清楚 地 看 到 CPU 的 负载 状态 。 


络 正常 情况 下 ，CPU 的 负载 状态 如 图 12-19 所 示 。 
安 当 我 们 运行 程序 以 后 ，CPU 的 负载 状态 如 图 12-20 所 示 。 
此 CPV 使 用 CPV 使 用 记录 CPV 使 用 CPV 使 用 记录 
而 
EE 


图 12-19 正常 情况 下 CPU 使 用 情况 图 12-20 ”CPU 满 负载 状态 


如 图 12-21 所 示 , 通过 查看 进程 ， 也 可 以 很 清楚 地 看 到 ，full.exe 这 个 程序 的 CPU 利 
率 几乎 是 100%， 说 明 就 是 full.exe 这 个 程序 在 大 量 地 占用 CPU。 


上 本 ndows 任务 管理 各 lejlb4 


88883888333833333 


口 显示 所 有 用 户 的 进 径 @) SEE] 


进程 数 : 47 CPV 使 用 : 100% 提交 更 改 : 384W /1250M 


12-21 ”full.exe 程序 在 大 量 地 占用 CPU 

现实 情况 中 ， 唱 到 入 侵 以 后 的 CPU 利用 率 也 许 不 会 高 得 如 此 离谱 ， 并 且 CPU 利用 率 

过 高 也 不 一 定 就 是 我 们 的 系统 遭 到 了 入 侵 。 但 是 ， 如 果 一 个 后 台 程 序 的 CPU 利用 率 总 是 偏 
高 ， 就 要 引起 我 们 的 注意 了 。 


12.4.4 ”可 疑 的 系统 管理 账户 


Windows 是 一 个 支持 多 用 户 、 多 任务 的 操作 系统 ， 不 同 的 用 户 在 访问 这 台 计 算 机 时 ， 
将 会 有 不 同 的 权限 。 同 时 ， 对 用 户 权限 的 设置 也 是 基于 用 户 和 进程 而 言 的 ，Windows 中 ， 
用 户 被 分 成 许多 组 ， 组 和 组 之 间 都 有 不 同 的 权限 ， 并 且 一 个 组 的 用 户 和 用 户 之 间 也 可 以 有 
不 同 的 权限 。 以 下 就 是 常见 的 用 户 组 。 

(1) Users: 普通 用 户 组 ， 这 个 组 的 用 户 无 法 进行 有 意 或 无 意 的 改动 。 因 此 ， 用 户 可 以 
运行 经 过 验证 的 应 用 程序 ， 但 不 可 以 运行 大 多 数 旧 版 应 用 程序 。Users 组 是 最 安全 的 组 ， 
为 分 配给 该 组 的 默认 权限 不 允许 成 员 修 改 操作 系统 的 设置 或 用 户 资料 。 Users 组 提供 了 一 个 
最 安全 的 程序 运行 环境 。 在 经 过 NTFS 格式 化 的 卷 上 ， 默 认 安全 设置 旨 在 禁止 该 组 的 成 员 
危及 操作 系统 和 已 安装 程序 的 完整 性 。 用 户 不 能 修改 系统 注册 表 设 置 、 操 作 系统 文件 或 程 
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序 文件 。Users 可 以 创建 本 地 组 ， 但 只 能 修改 自己 创建 的 本 地 组 。Users 可 以 关闭 工作 站 ， 
但 不 能 关闭 服务 器 。 

(2) Power Users: 高 级 用 户 组 ，Power Users 可 以 执行 除了 为 Administrators 组 保留 的 
任务 外 的 其 他 任何 操作 系统 任务 。 分 配给 Power Users 组 的 默认 权限 允许 Power Users 组 的 
成 员 修改 整个 计算 机 的 设置 ,但 Power Users 不 具有 将 自己 添加 到 Administrators 组 的 权限 。 
在 权限 设置 中 ， 这 个 组 的 权限 是 仅 次 于 Administrators 的 。 

(3) Administrators: 管理 员 组 ， 默 认 情 况 下 ，Administrators 中 的 用 户 对 计算 机 / 域 有 不 
受 限 制 的 完全 访问 权 。 分 配给 该 组 的 默认 权限 允许 对 整个 系统 进行 完全 控制 。 一 般 来 说 ， 
应 该 把 系统 管理 员 或 者 与 其 有 着 同样 权限 的 用 户 设 置 为 该 组 的 成 员 。 

(4) Guests: 来 宾 组 ,来宾 组 跟 普通 组 Users 的 成 员 有 同等 访问 权 ， 但 来 宾 账 户 的 限制 
更 多 。 

(5) Everyone: 所 有 的 用 户 ， 这 个 计算 机 上 的 所 有 用 户 都 属于 这 个 组 。 

(6) SYSTEM: 这 个 组 拥有 与 Administrators 一 样 甚至 更 高 的 权限 , 在 察看 用 户 组 的 时 
候 ， 它 不 会 被 显示 出 来 ， 也 不 允许 任何 用 户 加 入 。 这 个 组 主要 是 保证 系统 服务 的 正常 运行 ， 
赋予 系统 及 系统 服务 的 权限 。 

我 们 平常 使 用 计算 机 的 过 程 中 ， 通 常 不 会 感觉 到 有 权限 在 阻挠 你 去 做 某 件 事情 ， 这 是 
因为 我 们 在 使 用 计算 机 的 时 候 , 一 般 都 用 的 是 Administrators 中 的 用 户 登 录 的 。 这 样 有 利 也 
有 弊 ， 利 当然 是 你 能 去 做 你 想 做 的 任何 一 件 事情 而 不 会 遇 到 权限 的 限制 ， 弊 就 是 以 
Administrators 组 成 员 的 身份 运行 计算 机 将 使 系统 容易 受到 特洛伊 木马、 病毒 及 其 他 安全 风 
险 的 威胁 。 访 问 Intemet 站 点 或 打开 电子 邮件 附件 的 简单 行动 都 可 能 破坏 系统 。 

对 于 攻击 者 来 说 ， 最 让 他 们 垂 省 的 权限 当然 是 Administrators 或 者 SYSTEM。 因 为 只 
要 获得 Administrators 组 权限 或 者 SYSTEM 组 权限 ， 就 相当 于 完全 掌控 了 攻击 者 所 要 攻击 
的 目标 。 

我 们 可 以 先 查看 一 下 正常 运行 的 系统 中 存在 的 系统 用 户 。 

在 cmd 命令 窗口 中 ， 输 入 “net user”， 可 以 查看 到 本 机 所 有 的 用 户 账 户 ， 如 图 12-22 
所 示 。 


IC: \Docunents and Settings\Admin 


NPC-1 的 用 户 帐户 


ASPNET Guest 
IUSR_BXDKSUCW1X3EGMP IUSR_PC-1 
IWAM_PC-1 SUPPORT_388945ag 


12-22 本 机 上 的 所 有 用 户 账户 


而 输入 “net localgroup”， 可 以 查看 本 机 所 有 的 用 户 组 ， 如 图 12-23 所 示 。 

从 图 12-23 中 可 以 看 到 ， 前 面 提 到 的 几 个 常用 组 就 在 其 中 ， 如 Administrators、Guests 
等 ， 还 有 一 些 其 他 用 户 组 ， 是 安装 了 一 些 特定 的 应 用 程序 以 后 产生 的 ， 当 然 ， 这 些 用 户 组 
也 是 根据 系统 中 安装 的 应 用 的 不 同 而 不 同 。 

下 面 输入 “net localgroup Administrators”， 可 以 查看 Administrators 组 中 包含 的 用 户 账 
户 ， 如 图 12-24 所 示 。 


:\Documents and Settings\Adninistratornet localgroup 


nr uests 
9 elpServicesGroup 
而 etwork Configuration Operators 


"5BXDK5UCW1X3EBMP5SQLSERUER2B65 
"5BXDK5UCW1X3EBMP 


SQLSeruer2985SQLhgentUser5BXDK5UCW1X3EBMP5SQLSERUER2B65 
SQLServer2005SQLBrows erSBXDK5UCW1X3EBMP 


:Documents and Settings\Adninistratormnet localgroup fdninistrators 


剖 | 名 
往 市 


图 12-24 Administrators 组 中 包含 的 用 户 


Administrators 组 中 只 有 一 个 Administrator 用 户 ， 这 也 是 Windows 系统 的 默认 配置 。 

攻击 者 入 侵 时 ， 往 往 会 想方设法 得 到 这 个 Administrator 用 户 的 密码 ， 但 是 ， 当 他 们 得 
不 到 该 账户 的 密码 时 ， 往 往 会 退 而 求 其 次 , 创建 一 个 新 的 Administrators 组 用 户 ， 以 达到 控 
制 系统 的 目的 。 

创建 用 户 账户 ， 并 提升 为 管理 员 权 限 也 可 以 使 用 cmd 命令 来 实现 。 

在 拥有 Administrators 权限 或 者 SYSTEM 权限 时 ， 可 以 在 cmd 窗口 中 输入 如 下 命令 : 


net user hacker 123456 /add 


其 中 ，hacker 为 需要 创建 的 用 户 名 ，123456 为 设置 的 密码 。 这 档 
hacker 的 用 户 。 然 后 输入 如 下 命令 ， 就 可 以 为 这 个 用 户 提升 权限 : 


就 创建 好 了 一 个 名 为 


net localgroup Administrators hacker /add 


其 中 ，hacker 为 刚刚 创建 的 账户 的 用 户 名 。 
这 两 条 命令 执行 的 效果 如 图 12-25 所 示 。 


12-25 ”执行 添加 用 户 并 提升 权限 的 命令 
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这 时 ， 再 查看 系统 中 的 用 户 ， 结 果 如 图 12-26 所 示 。 


: Documents and Settings\hdministrator>net user 


_BXDKSUCWU1X3EBMP 
IUSR_PC-1 WAM_BXDKSUCWI1X3EGMP IWAM_PC-1 
BUPPORT_388945a@ 


图 12-26 再 次 查看 系统 中 的 用 户 
名 为 hacker 的 用 户 已 经 被 成 功 建立 ， 查 看 Administrators 组 用 户 ， 如 图 12-27 所 示 。 


\Documents and Settings\hdministrator>net localgroup fdministrators 


的 完 


图 12-27 再 次 查看 Administrators 用 户 组 中 的 用 户 


从 图 12-27 中 可 以 看 到 ， 用 户 账 户 hacker 也 已 经 被 加 入 到 Administrators 组 中 了 。 

有 一 天 ， 当 你 发 现 你 的 系统 中 多 出 了 这 样 未 知 的 管理 员 账 户 时 ， 你 有 理由 怀疑 你 的 计 
算 机 已 经 遭 到 了 入 侵 。 

另外 ， 还 有 一 种 比较 隐蔽 的 方法 ， 这 种 方法 不 是 新 建 一 个 用 户 账户 ， 而 是 激活 Guest 
账户 ， 这 种 方法 在 黑客 攻击 过 程 中 也 十 分 常见 。 

Guests 用 户 组 中 默认 唯一 的 用 户 账户 就 是 这 个 Guest 账户 。Guest 账户 的 默认 属性 
如 图 12-28 所 示 。 


:Documents and Settings\Adninistratormnet user Guest 
三 G 


癌 域 的 内 置 帐户 


2813/9/7 上 午 19:98 
从 不 

2813/9/7 上 午 18:88 
No 

No 


All 


2813/4/3 下 午 88:42 


All 


xGuests 
xNone 


图 12-28 ”Guest 账户 的 默认 属性 


激活 Guest 并 将 其 添加 到 管理 员 组 的 命令 如 下 : 


net user Guest /active:yes 
net user Guest 123456 
net localgroup Administrators Guest /add 


执行 这 三 条 命令 以 后 ， 再 次 查看 Guest 用 户 的 属性 ， 如 图 12-29 所 示 。 


:Documents and Settings\Adninistratormnet user guest 
户 名 Guest 


供 来 宾 访问 计算 机 或 访问 域 的 内 置 帐户 


2813/9/7 上 午 19:19 
从 不 


2813/9/7 上 午 19:19 
No 


2813/4/3 下 午 98:42 
All 


fdninistrators xGuests 
xNone 


图 12-29 修改 后 Guest 用 户 的 属性 
这 时 ，Guest 账户 就 被 加 入 到 了 管理 员 组 中 ， 攻 击 者 就 达到 了 提升 权限 的 目的 。 
以 上 两 种 情况 都 是 攻击 者 常用 的 手法 ， 日 常 检测 中 ， 需 要 多 加 注意 ， 如 果 有 类 似 的 用 
户 账户 出 现 的 可 疑 情况 ， 就 要 引起 警惕 。 


12.4.5 ”系统 日 志 的 检查 


日 ; 志文 件 作为 微软 Windows 系列 操作 系统 中 的 一 个 比较 特殊 的 文件 , 在 安全 方面 具有 
无 可 替代 的 价值 。 日 志 每 天 记录 着 系统 所 发 生 的 一 切 ， 利 用 系统 日 志文 件 ， 可 以 使 系统 管 
理 员 快 速 地 对 潜在 的 系统 入 侵 做 出 记录 和 预测 ， 但 目前 ， 绝 大 多 数 人 都 忽略 了 它 的 存在 。 

要 了 解 日 志文 件 ， 首 先 要 了 解 它 的 特殊 性 ， 特 殊 是 因为 这 个 文件 由 系统 管理 ， 并 加 以 
保护 ， 一 般 情况 下 ， 普 通用 户 不 能 随意 更 改 。 我 们 不 能 用 针对 普通 TXT 文件 的 编辑 方法 来 
编辑 它 ， 例 如 WPS 系列 、Word 系列 、 写 字 板 、Edit 等 ， 甚 至 不 能 对 它 进 行 “ 重 命名 ”或 
“删除 ”、“ 移 动 ” 操 作 ， 否 则 系统 就 会 提示 “访问 被 拒绝 ”。 
系统 日 志 的 作用 和 重要 性 不 言 而 喻 , 但 是 , 虽然 系统 自 带 的 日 志 完全 可 以 告诉 我 们 系统 
发 生 的 任何 事情 , 然而 ， 由 于 日 志 记 录 增 加 得 太 快 了 ， 最终 使 日 志 只 能 成 为 浪费 大 量 磁 盘 空 
间 的 垃圾 ， 所 以 , 日 志 并 不 是 可 以 无 限制 地 使 用 的 ， 合理、 规范 地 进行 日 志 管 理 ， 是 使 用 日 
志 的 一 个 好 方法 ， 有 经 验 的 系统 管理 员 就 会 利用 一 些 日 志 审 核 工 具 、 过 滤 日 志 记录 工具 , 解 
决 这 个 问题 。 
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要 最 大 程度 地 将 日 志文 件 利用 起 来 ， 就 必须 先 制定 管理 计划 ， 主 要 有 以 下 两 点 。 

(D 指定 日 志 做 哪些 记录 工作 。 

(2) 制定 可 以 得 到 这 些 记 录 详 细 资 料 的 触发 器 。 

要 想 迅速 地 从 繁多 的 日 志文 件 记录 中 查找 到 入 侵 信 息 ， 就 要 使 用 一 些 专业 的 日 志 管理 
工具 。Surfstats Log Analyzer 就 是 这 样 一 款 专 业 的 日 志 管 理工 具 。 网 络 管理 员 通过 它 可 以 清 
楚 地 分 析 记 录 文 件 ， 从 中 看 出 网 站 目前 的 状况 ， 并 可 以 从 该 软件 的 “报告 ” 中， 准确 地 了 
解 网 站 状况 。 

Surfstats Log Analyzer 软件 最 主要 的 功能 有 : 它 能 分 析 日 志文 件 和 生成 网 站 活动 记录 ， 
能 从 主机 上 取 回 你 的 日 志文 件 ， 并 有 详细 报告 或 摘要 ， 还 支持 动态 DNS 查找 等 。 

入 侵 者 在 入 侵 并 控制 系统 之 前 ， 往 往 会 用 扫描 工具 或 者 手动 扫描 的 方法 来 探测 系统 ， 
以 获取 更 多 的 信息 。 而 这 种 扫描 行为 都 会 被 系统 服务 日 志 记录 下 来 。 

比如 : 一 个 了 P 连续 多 次 出 现在 系统 的 各 种 服务 日 志 中 ， 并 试图 寻找 漏洞 ， 又 如 ,一 个 
IP 连续 多 次 为 同一 系统 的 多 个 服务 建立 了 空 连 接 ， 这 很 有 可 能 是 入 侵 者 在 搜集 某 个 服务 的 
版 本 信息 。 

王 注意 : ”在 Unix 操作 系统 中 , 如 果 有 人 访问 了 系统 不 必要 的 服务 或 者 有 严重 安全 隐患 
的 服务 ， 比 如 finger、rpc， 或 者 在 Telnet、FTP、POP3 等 服务 日 志 中 连续 出 
现 了 大 量 的 连续 性 失败 登录 记录 ， 则 很 有 可 能 是 入 侵 者 在 尝试 猜测 系统 的 密 
码 。 这 些 都 是 攻击 的 前 兆 ! 
检查 日 志 时 ， 不 应 该 遗漏 的 还 有 IIS 日 志 或 Apache 日 志 。 
IIS 日 志 路 径 可 以 在 IS 管理 器 中 查看 ， 如 图 12-30 所 示 。 


@ ft 


使 用 此 功能 配置 IIS 在 Web 服务 器 上 记录 请 求 的 方式 。 
一 个 日 志文 件 /每 (D): 
网 站 
日 志文 件 
格式 (M): 
[ac -Laseeg | 
目录 WW): 


%SystemDrive%\inetpub\logs\LogFiles | [Case- 
编码 日: 


UTF-8 ~ 


图 12-30 “IS 管理 器 中 的 相关 设置 
进入 相应 的 目录 ， 即 可 看 到 日 志文 件 ， 如 图 12-31 所 示 。 
当 入 侵 者 用 扫描 器 扫描 网 站 后 台 的 时 候 , 就 会 产生 许多 访问 网 站 后 台 敏感 文件 的 记录 ， 
如 果 产 生 了 类 似 如 图 12-32 这 样 的 日 志 记 录 ， 就 要 加 强 警惕 。 


A 


u_ex13022 uex1l3030 uex13030 uex13030 uex13030 
Tlog llog 2log 3.og Slog 


全 en h 

基 | 

3 = 

而 1 uex13032 uex13032 uex1l3032 uex13032 vu ex13032 


34og 4log Slog Glog Tlog 


uex13040 uex13040 uexl3041 uex13041 uex13041 uv ex13041 
Glog 9log 0Jog 1log 2.og 3.log 


图 12-31 一 些 日 志文 件 


K "Hb 
EET /adnin/ind 01404_0bjecc_Roc_Ffound 404 FLcrosofc 
80 CET /adainyderanlc - 404 RicrosofcHURLHConrrol+-+6.00.6662 
80 GET /adnin/default.asp 1-101404_0bjecc_Wor_Found 404 Hicroso 
80 5ET /aduin/nanage - 404 Hicrosoft+URL+Control+-+6,00.8862 
80 GET /adain/nanage. asp |-101404 0biect_ Not_Found 404 Ricrosot 
80 6ET /adain/login - 404 Microsoft+URL+Control+-+6.00.8862 
80 6ET /adain/login.azp |-101404 0bject Not Foumd 404 Kicrosoft 
80 6ET /forum/nanage - 404 KicrosofttIRL+Control+-+6.00.8662 
80 GET /torm/wanage.asp |-101404 Object_Nor Found 404 Hicrosof 
80 GET /forum/loyin - 404 HtcrosogrcHURIHConcrol+-46,00,8862 
80 6ET /forun/login,asp - 200 Hicrosott+HURL+Control+-+6.00,8862 
80 6ET /forvun/wanage_index - 404 Kicrosot trURL+Control+-+6,00.8: 
GET /forvn/nanage_ index. asp |-101404 Object_ Not_ Found 404 Hi 
~ 404 Kicrosof cURLtControl+-+6.00.8 
-asp 1-101404 Object_ Hot Found 404 Hi 


图 12-32 ”记录 扫描 器 扫描 操作 的 日 志 记 录 
这 里 ， 我 们 再 具体 分 析 一 个 入 侵 过 程 所 产生 的 IIS 日 志 记录 : 


GET /forum/akk.asp - 200 

利用 旁 注 网 站 的 webshel1 在 forum 文件 夹 下 生成 akk.asp 后 门 

GET /forum/akk.asp d=1s.asp 200 

入 侵 者 登录 后 门 

GET /forum/akk.asp d=1s.asp&gpath=/test&oldpath=&attrib= 200 
进入 test 文件 夹 

GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib= 200 
利用 后 门 在 test 文件 夹 修改 1.asp 的 文件 

GET /forum/akk.asp d=ls.asp 200 

GET /forum/akk.asp d=1s.asp&gpath=/langoldpath=&attrib= 200 
进入 lan 文件 夹 

GET /forum/akk.asp d=e.aspg&path=/lan/index.htmlg&attrib= 200 
利用 编辑 命令 修改 1an 文件 夹 内 的 首页 文件 

GET /forum/akk.asp d=ls.asp 200 

GET /forum/akk.asp d=1s.asp&gpath=/forum&oldpath=&attrib= 200 
进入 BBS 文件 夹 (这 下 子 真 的 进入 BBS 目录 了 ) 

POST /forum/akk.asp d=up.asp 200 

GET /forum/akk.asp d=ls.asp&path=/forumgoldpath=g&attrib= 200 
GET /forum/myth.txt - 200 

在 forum 的 文件 夹 内 上 传 myth .txt 文件 
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GET /forum/akk.asp dq=1s.asp&gpath=/forum&goldpath=&attrib= 200 

GET /forum/akk.asp d=e.asp&path=/forum/myth.txtg&op=delg&attrib= 200 
POST /forum/akk.asp d=up.asp 200 

GET /forum/myth.txt - 200 


从 这 段 日 志 中 可 以 看 出 ， 攻 击 者 利用 后 门 修改 forum 文件 夹 目录 下 的 myth.txt 文件 。 
之 后 ， 又 再 利用 同 服务 器 旁 站 的 webshell 进行 了 akk.asp 后 门 的 建立 ， 利 用 akk.asp 的 后 门 
修改 了 首页 ， 又 把 首页 备份 。 


练习 。 思 考题 


. 简 述 什么 是 入 侵 检 测 ， 以 及 入 侵 检测 技术 的 分 类 。 
. 列 出 入 侵 检测 系统 的 功能 。 
. 简 述 入 侵 检测 系统 的 标准 。 
. 简 述 Snort 系统 和 特点 。 
. 按照 12.3 节 中 的 介绍 ， 动 手 安装 并 配置 Snort， 举 例 说 明 Snort 中 还 有 哪些 功能 。 
. 选择 一 定 的 入 侵 方法 ,对 安装 有 Snort 的 机 器 进行 攻击 ,并 查看 Snort 如 何 进行 反馈 ， 
以 及 查看 Snort 的 日 志 记录 。 

7. 简 述 何 时 会 出 现 CPU 利用 率 异 常 的 情况 。 能 否 通过 程序 实现 固定 占用 CPU 利用 率 
百 分 之 五 十 。 

8. 将 第 7 题 进行 延伸 ， 能 否 通过 程序 监控 其 他 进程 ， 当 某 一 进程 占用 CPU 超过 某 一 
峰值 时 ， 自 动 结束 相应 的 进程 。 

9. 查看 自己 的 计算 机 中 所 有 的 用 户 账户 ， 简 述 每 一 个 账户 的 权限 及 所 属 用 户 组 。 

10. 查看 自己 的 计算 机 中 存在 的 日 志文 件 ， 简 要 说 明 哪些 是 安全 日 志 ， 哪 些 是 事务 日 
志 ， 举 例 说 明 某 些 日 志 的 含义 。 


中 mi 一 


参 考 资 料 


[1] http://www.winpcap.org 
[2] https://www.snort.org 
[3] http://www.onlinedown.net/soft 


第 13 章 计算 机 网 络 取 证 


“网 络 取 证 ”(Network Forensics) 一 词 在 20 世纪 90 年 代 由 计算 机 安全 专家 Marcus 
Ranum 最 早 提 出 。 网 络 取证 是 指针 对 涉及 民事 、 刑 事 和 管理 事件 而 进行 的 对 网 络 数 据 流 的 
研究 ， 目 的 是 保护 用 户 和 资源 ， 防 范 由 于 持续 膨胀 的 网 络 连接 而 产生 的 被 非法 利用 、 入 侵 
和 其 他 犯罪 行为 。 


13.1 网 络 取证 概述 


网 络 可 以 显示 入 侵 者 突破 网 络 的 路 径 ， 揭 示 通 过 中 间 媒 介 的 入 侵 ， 提 供 重 要 和 确凿 的 
证 据 ， 但 通常 不 能 单独 处 理 某 个 案例 ， 把 嫌疑 人 和 攻击 事件 直接 关联 。 

在 实现 方式 上 ， 网 络 取 证 通常 与 网 络 监控 相 结 合 ， 例 如 ， 入 侵 检 测 技术 (IDS) 和 蜜 网 
(honeynet) 技 术 利用 网 络 监 控 激 活 取证 。 


13.1.1 网 络 取证 的 特点 


(1) 主要 研究 对 象 与 数据 报 (Packets) 或 网 络 数据 流 (Network Traffic) 有 关 , 而 不 仅仅 局 限 
于 计算 机 。“ 网 络 数据 流 ” 指 的 是 在 主机 之 间 通 过 无 线 或 者 有 线 方式 进行 的 计算 机 网 络 通 信 。 

(2) 为 满足 证 据 的 实时 性 和 连续 性 ， 网 络 取证 是 动态 的 ， 并 且 结 合 入 侵 前 后 的 网 络 环 
境 变量 ， 可 以 重建 入 侵 过 程 。 

(3) 为 保证 证 据 的 完整 性 ， 网 络 取证 有 时 是 分 布 式 的 ， 需 要 部 署 多 个 取证 点 或 取证 代 
理 (Agent)， 而 且 这 些 取证 点 是 相关 的 和 联动 的 。 

(4) 为 实现 网 络 取证 ， 通 常 需要 与 网 络 监控 (Network Monitoring) 相 结合 。 


13.1.2 ”计算 机 取证 与 传统 证 据 的 取证 方式 的 区 别 


计算 机 取证 与 传统 证 据 的 取证 方式 不 同 ， 主 要 区 别 如 下 。 

(1) 容易 被 改变 或 删除 ， 并 且 改 变 后 不 容易 被 发 觉 。 传 统 证 据 如 书面 文件 ， 如 有 改动 
或 添加 ， 都 会 留 有 痕迹 ， 可 通过 司法 鉴定 技术 加 以 鉴别 。 而 数字 证 据 与 传统 证 据 不 同 ， 它 
们 多 以 磁性 介质 为 载体 ， 易 被 修改 ， 并 且 不 易 留 下 痕迹 。 

(2) 多 种 格式 的 存 贮 方式 。 数 字 证 据 以 计算 机 为 载体 ， 其 实质 是 以 一 定格 式 储存 在 计 
算 机 硬盘 、 软 盘 或 CDROM 等 储存 介质 上 的 二 进 制 代 码 ， 它 的 形成 和 还 原 都 要 借助 于 计算 
机 设备 。 

(3) 易 损 毁 性 。 计 算 机 信息 最 终 都 是 以 数字 信号 的 方式 存在 ， 易 对 数字 证 据 进行 截 收 、 
监听 、 删 节 、 剪 接 等 操作 ， 或 者 由 于 计算 机 操作 人 员 的 误 操 作 或 供电 系统 、 通 信 网 络 的 故 
障 等 环境 和 技术 方面 的 原因 ， 都 会 造成 数字 证 据 的 不 完整 性 。 

(4) 高 科技 性 。 计 算 机 是 现代 化 的 计算 和 信息 处 理工 具 ， 其 证 据 的 产生 、 储 存 和 传输 
都 必须 借助 于 计算 机 软 硬 件 技术 ， 离 开 了 高 科技 含量 的 技术 设备 ， 电 子 证 据 将 无 法 保存 和 
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传输 。 如 果 没 有 外 界 的 蓄意 算 改 或 差错 的 影响 ， 电 子 证 据 就 能 准确 地 储存 并 反映 有 关 案 件 
的 情况 。 正 是 以 这 种 高 技术 为 依托 ， 使 它 很 少 受 主观 因素 的 影响 ， 其 精确 性 决定 了 电子 证 
据 具 有 较 强 的 证 明 力 。 

(5) 传输 中 通常 与 其 他 无 关 信 息 共享 信道 。 计 算 机 取证 ， 其 自身 的 特点 导致 取证 的 方 
式 和 来 源 不 同 ， 计 算 机 证 据 的 来 源 主要 来 自 两 个 方面 ， 一 个 是 系统 方面 的 ， 另 一 个 是 网 络 
方面 的 。 


13.1.3 ”计算 机 取证 流程 


计算 机 取证 流程 一 般 包 含 如 下 4 个 步 又 。 
(1) 识别 证 据 : 识别 可 获取 信息 的 类 型 ， 以 及 获取 的 方法 。 
(2) 保存 证 据 : 确保 跟 原始 数据 一 致 ， 不 对 原始 数据 造成 改动 和 破坏 。 
(3) 分 析 证 据 : 以 可 见 的 方式 显示 ， 结 果 要 具有 确定 性 ， 不 要 做 任何 假设 。 
(4) 提交 证 据 : 向 管理 者 、 律 师 或 者 法 院 提交 证 据 。 
为 了 更 好 地 完成 计算 机 取证 ， 我 们 也 应 该 熟悉 黑客 的 攻击 方式 ， 知 己 知 彼 ， 方 能 百 
战 不 列 。 
黑客 的 攻击 步骤 被 描述 为 以 下 几 步 。 
(1) 信息 收集 (Information Gathering)。 
(2) 踩点 (Footprinting)。 
(3) 查 点 (Enumerating)。 
(4) 探测 弱点 (Probing for Weaknesses)。 
(5) 突破 (Penetration)。 
(6) 创建 后 门 、 种 植木 马 (Back dooring, Trojans)。 
(7) 清除 (Cleanup)、 掩 盖 入 侵 踪 迹 。 
针对 黑客 入 侵 过 程 的 特点 ， 网 络 取 证 的 重点 如 下 。 
@ 周 界 网 络 (Perimeter Network): 指 在 本 地 网 的 防火 墙 以 外 ， 与 外 部 公 网 连接 的 所 有 
设备 及 其 连接 。 
@ ” 端 到 端 (End-to-End): 指 攻 击 者 的 计算 机 到 受害 者 计算 机 的 连接 。 
@ 日志 相关 (Log Correlation): 指 各 种 日 志 记 录 在 时 间 、 日 期 、 来源、 目的 ， 甚 至 协 
议 上 ， 满 足 一 致 性 的 匹配 元 素 。 
@ ”环境 数据 (Ambient Data): 指 删除 后 仍然 存在 ， 以 及 存在 于 交换 文件 和 slack 空间 
的 数据 。 
@ ”攻击 现场 (Attack Scenario): 将 攻击 再 现 、 重 建 并 按照 逻辑 顺序 组 织 起 来 的 事件 。 


13.2 TCP/IP 基础 


13.2.1 OSI 开放 系统 互 连 参 考 模型 
为 使 不 同 计算 机 厂家 生产 的 计算 机 能 相互 通信 ， 以 便 在 更 大 范围 内 建立 计算 机 网 络 ， 


涝 于 


区 
2 


话 迪 党 芒 避 


国际 标准 化 组 织 GSO) 在 1978 年 提出 “开放 系统 互 连 参 考 模型 ”， 即 著名 的 OSIRM(Open 
System Interconnection/Reference Model)。 

OSI 开放 系统 互 连 参考 模型 ， 将 整个 网 络 的 通信 功能 划分 成 7 个 层次 ， 每 个 层次 完成 
不 同 的 功能 。 

OSI 开放 系统 互 连 参考 模型 的 7 层 如 下 : 物理 层 (Physical Layer); 数据 链 路 层 (Data Link 
Layer); 网 络 层 (Network Layer); 传输 层 (Transport Layer); 会 话 层 (Session Layer); 表示 层 
(Presentation Layer); 应 用 层 (Application Layer)。 

计算 机 网 络 中 , 常见 的 TCP/IP 协议 不 符合 OSI 开放 式 系统 互 连 参考 模型 的 7 层 参 考 模 
型 。 它 采用 了 4 层 结构 ， 分 别 为 网 络 访问 层 、 网 络 层 、 传 输 层 、 应 用 层 。 

TCP/IP 协议 ( 左 ) 与 OSI 开放 式 系统 互 连 参考 模型 ( 右 ) 的 对 应 关系 如 图 13-1 所 示 。 


在 模型 中 不 存在 


主机 至 网 络 


13-1 TCP/IP 协议 与 OSI 开放 式 系统 互 连 参 考 模型 的 对 应 关系 


13.2.2 TCPI/IP 协议 
TCP/IP 协议 是 全 世界 广泛 使 用 的 网 络 通信 协议 ， 这 部 分 以 此 为 重点 讨论 的 一 些 基本 原 
则 同样 适用 于 其 他 类 型 协议 的 通信 ， 这 些 通信 协议 也 是 作为 我 们 网 络 取证 的 基础 。 
TCP/IP 协议 的 4 层 结构 ， 包 括 应 用 层 、 传 输 层 、 网 络 层 、 数 据 链 路 层 ， 它 们 分 别 实现 
的 功能 如 表 13-1 所 示 。 


表 13-1 TCP/IP 协议 各 层 实现 的 功能 


协议 所 属 层次 实现 的 功能 
为 特定 的 应 用 程序 发 送 和 接收 数据 ， 例 如 域名 系统 (DNS)， 超 文 
应 用 层 (Application Layer) . lg 
本 传输 协议 (HTTP) 和 简单 邮件 传输 协议 (SMTP) 等 
在 网 络 之 间 为 传输 应 用 层 的 服务 提供 面向 连接 和 无 连接 的 服务 ， 
传输 层 (Transport Layer) 传输 层 可 选择 为 确保 通信 可 靠 性 。 传 输 控制 协议 (TCP) 和 用 户 数 


据 报 协议 (UDP) 是 最 常 使 用 的 
为 网 络 间 的 数据 包 提 供 路 由 , IP 协议 是 最 基本 的 网 络 层 协议 , 其 
他 还 有 Intemet 控制 消息 协议 (ICMP)，Internet 群 管理 协议 
(GMP) 等 


Internet 协议 层 ， 或 网 络 层 (Internet 
Protocol Layer 或 Network Layer) 


硬件 层 ， 或 数据 链 路 层 (Hardware 


处 理 物理 网 络 组 件 上 的 通信 ， 最 有 名 的 是 以 太 网 (Ethernet) 
Layer， 或 Data Link Layer) 
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当 


个 用 户 通过 网 络 传输 数据 时 ， 数 据 就 从 最 高 层 到 中 间 层 再 到 最 底层 流动 ， 每 一 层 


都 要 增加 
最 底 
上 层 


额外 的 信息 。 
层 通过 物理 网 络 发 送 这 些 累积 的 数据 ， 数 据 在 这 一 层 传送 到 目的 地 。 
产生 的 数据 会 被 它 的 下 一 层 用 更 大 的 容器 封装 ， 即 每 一 层 封 装 上 一 层 的 数据 。 


图 13-2 显示 了 这 种 封装 情形 。 


应 用 
应 用 层 协 
管理 协议 

传输 
端的 通信 

一 些 
很 多 可 以 

每 一 
似 ， 但 二 


于 证 | 


| 应 用 层 


| 传输 层 〈 数 据 包 ) 


| 思 层 (数据 报 》 


| 硬件 层 〈 帧 》 


13-2 ”数据 包 封装 


层 是 TCP/IP 协议 的 最 高 层 ， 使 得 应 用 程序 可 以 在 服务 器 和 客户 端 之 间 传 输 数据 ， 
议 包 括 DNS、HTTP、 文 件 传 输 协议 (FTP)、 简 单 邮件 传输 协议 (SMTP)、 简 单 网 络 
(SNMP) 等 。 

层 与 OSI 参考 模型 的 传输 层 对 应 ， 提 供 一 个 应 用 程序 到 另 一 个 应 用 程序 之 间 端 到 
。 该 层 的 协议 主要 有 TCP 协议 (传输 控制 协议 )、UDP 协议 (用 户 数 据 报 协议 ) 等 。 
程序 通常 选择 某 个 特定 端口 (例如 FTP 服务 在 端口 21，HTTP 服务 在 端口 80),， 但 
从 任何 一 个 端口 运行 。 

个 UDP 数据 包 也 包含 一 个 源 端 口 和 一 个 目标 端口 。 虽然 UDP 号 与 TCP 端口 号 类 
者 不 同 ， 而 且 不 能 互 换 。 一 些 协议 (例如 DNS) 能 同时 使 用 UDP 和 TCP 端口 ， 并 


且 端口 号 还 能 相同 ， 但 这 并 不 是 必需 的 。 
卫 层 与 OSI 参考 模型 的 网 络 层 对 应 协议 主要 有 卫 协议 (网 络 互联 协议 )、ICMP 协议 (网 


间 控 制 报 


文 协议 ) 等 。 负 责 为 从 传输 层 接收 的 数据 进行 寻 址 和 路 由 。JP 头 包含 一 个 称 为 “IP 


版 本 ”的 域 ， 其 他 重要 的 了 P 头 还 有 以 下 内 容 。 
(1) 源 和 目的 卫 地址: 例如 10.3.1.10GPv4) 和 1000:0:0:2F:8A:400:0427:9BD1(IPV6)。 
(2) 了 协议 数 : 指示 了 P 载 荷 中 包含 的 传输 层 协议 类 型 。 例 如 1:ICMP, 6:TCP, 17:UDP， 
50:ESP 等 。 


硬件 
转发 数据 


13.2.3 


层 与 OSI 参考 模型 的 数据 链 路 层 和 物理 层 相对 应 ， 负 责 在 网 络 层 和 物理 网 络 之 间 


TCP/IP 协议 在 网 络 取 证 中 层 的 重要 性 


TCP/IP 协议 在 网 络 取证 中 ， 层 有 着 十 分 重要 的 作用 ， 具 体 来 说 ， 包 括 : 


四 层 人 P 协议 簇 中 的 每 一 层 都 包含 重要 的 信息 ,硬件 层 提供 物理 组 件 的 信息 ， 其 他 
的 层 描述 逻辑 信息 。 


LE 


PF 


eh 


@ ”网 络 取 证 分 析 依 赖 所 有 层 。 


机 @ ”能 够 帮助 搜索 包括 卫 地 址 、 协 议 或 者 端口 号 等 信息 。 
如。 。 应 用 层 包含 了 各 类 真实 的 活动 信息 。 

安 

全 村 ~ 
其 13.3 ”网 络 取证 的 数据 源 
而 


数据 源 ， 就 是 数据 的 源头 ， 在 网 络 取证 中 ， 最 重要 的 就 是 收集 各 类 信息 ， 在 收集 信息 
的 过 程 中 查找 的 地 方 ， 就 是 网 络 取证 的 数据 源 。 


13.3.1 防火墙 和 路 由 器 
路 由 器 都 是 网 络 中 常见 的 设备 ， 一 般 路 由 器 都 可 以 将 基本 信息 或 者 所 有 被 拒绝 的 连接 
尝试 以 及 无 连接 的 数据 记 入 日 志 。 


日 志 内 容 包 括 数据 包 被 处 理 的 日 期 和 时 间 、 源 和 目的 IP 地 址 、 传输 层 协议 (TCP、UDP、 
ICMP 等 )、 基 本 的 协议 信息 (TCP 或 UDP 的 端口 号 ，ICMP 的 类 型 和 代码 ) 等 。 

数据 包 的 内 容 通常 不 做 记录 。 

图 13-3 显示 了 典型 的 路 由 器 日 志 。 


May 8 04:58:50 172.16.73.148 May 07 2001 22:06:10: %PIX-5-304001: 63.141.3.20 
Accessed URL X.X,64.170:/scripts/..%cO%af../winnt/system32/cmd.exe?/c+dir 


13-3 ”路 由 器 日 志 示例 


也 有 一 些 防火 墙 兼 有 代理 服务 器 功能 。 代 理 服 务 器 会 将 每 一 个 连接 的 基本 信息 记 入 日 志 。 
一 些 代理 服务 器 是 专用 的 ， 而 且 进 行 一 些 应 用 层 协议 的 分 析 和 验证 ， 例 如 HTTP。 代 理 服 
务 器 会 拒绝 明显 无 效 的 客户 端 请 求 ， 并 将 其 记 入 日 志 。 

图 13-4 显示 了 典型 的 防火 墙 日 志 。 


15:31:07 drop Primary >eth-s3p1c0 proto tcp src evil.org dst mynet61.com service sunrpc s_port 1208 len 60 rule 19 
15:31:07 drop Primary >eth-s3p1c0 proto tcp src evil.org dst mynet63.com service sunrpc s_port 1210 len 60 rule 19 
15:31:07 drop Primary ”>eth-s3p1c0 proto tcp src evil.org dst mynet52.com service sunrpc s_port 1199 len 60 rule 10 
15:31:07 drop “Primary >eth-s3p1c0 proto tcp src evil.org dst mynet56.com service sunrpc s_port 1203 len 60 rule 19 
15:31:07 drop “Primary ”>eth-s3p1c0 proto tep src evil.org dst mynet58.com service sunrpc s_port 1205 len 60 rule 19 
15:31:07 drop Primary >eth-s3p1c0 proto tcp src evil.org dst mynet60.com service sunrpc s_port 1207 len 60 rule 19 
15:31:07 drop ”Primary >eth-s3p1c0 proto tcp src evil.org dst mynet62.com service sunrpc s_port 1209 len 60 rule 19 
15:31:10 drop ”Primary >eth-s3p1c0 proto tcp src evil.org dst mynet57.com service sunrpc s_port 1204 len 60 rule 10 
15:31:10 accept Primary >eth-s3p1c0 proto tcp src evil.org dst mynet59.com service sunrpcs_port 1206 len 60 rule 16 
16:13:57 accept Primary >eth-s3p1c0 proto udp src evil.org dst mynet59.com service sunrpc s_port 633 len 84 rule 16 
16:13:57 accept Primary >eth-s3p1c0 proto udp src avil.org dst mynet59 com service 1018 s_port ginad len 1104 rule 16 
16:14:03 accept Primary >eth-s3p1c0 proto tcp src evil.org dst mynet59.com service 39168 s_port 3898 len 60 rule 16 
16:14:03 drop Primary >eth-s4p1c0 proto tcp src mynet59.com dst evil.org service 64059 s_port 1034 len 60 rule 18 


图 13-4 防火墙 日 志 示例 


13.3.2 ”数据 包 嗅 探 器 和 协议 分 析 器 


数据 包 嗅 探 器 主要 用 来 监视 网 络 通信 并 捕获 数据 包 。 一 般 用 来 捕获 特定 类 型 的 数据 以 
协助 排除 网 络 故障 或 者 取证 调查 。 很 多 数据 包 嗅 探 器 同时 也 是 协议 分 析 器 (Protocol 
Analyzers)， 能 把 分 散 的 数据 包 重 组 为 数据 通信 ， 进 而 识别 通信 。 

协议 分 析 器 不 仅 能 处 理 实时 数据 通信 ， 也 能 够 分 析 数 据 包 嗅 探 器 事先 捕获 并 保存 为 捕 
获 文件 的 数据 通信 。 另 外 ， 协 议 分 析 器 在 分 析 不 明 格式 的 原始 数据 包 时 格外 有 用 。 


EN 
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下 面 通过 一 个 具体 的 案例 ， 来 说 明 数 据 包 嗅 探 器 的 作用 。 

在 某 一 系统 中 ，IDS 系统 发 现 攻击 行为 产生 告警 : 在 某 日 的 18 点 30 分 ， 有 人 对 他 地 
址 为 68.35.223.153 的 主机 进行 端口 扫描 。 分 析 人 员 迅 速 使 用 Sniffer Infinistream 数据 包 嗅 
探 器 分 析 当 时 访问 主机 68.35.223.153 的 所 有 网 络 流量 。 如 图 13-5 所 示 是 使 用 Sniffer 获取 
数据 包 的 情况 。 
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13-5 ”Sniffer 获取 到 数据 包 的 情况 


扫描 行为 分 析 得 到 确认 , 发 现 卫 地 址 为 68.35.68.6 的 主机 当时 对 主机 68.35.223.153 进 
行 了 端口 扫描 。 图 13-6 显示 了 两 个 主机 间 通 信 数 据 包 的 具体 情况 。 
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13-6 两 主机 间 通 信 数 据 包 的 具体 情况 


分 析 人 员 继 续 监视 其 后 续 的 攻击 行为 ， 发 现 其 在 进行 端口 扫描 后 ， 通 过 SMTP、FTP、 
Telnet 等 方式 试图 访问 服务 器 。 


LE 


从 图 13-7 显示 了 存在 不 同类 型 的 数据 包 。 
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13-7 “不同 协议 类 型 的 数据 包 


13.3.3 入侵 检测 系统 


网 络 型 入 侵 检测 系统 ， 通 过 执行 数据 报 嗅 探 和 网 络 通信 分 析 ， 来 识别 可 疑 活 动 ， 并 记 
录 相 关 的 信息 ， 其 传感器 会 监视 特定 网 段 的 所 有 网 络 通信 。 

主机 型 入 侵 检测 系统 监视 特定 系统 的 现象 和 发 生 的 事件 ， 也 包括 网 络 数据 ， 它 仅仅 监 
视 与 自身 有 关 的 网 络 通信 。 

对 每 一 个 可 疑 的 事件 ， 入 侵 检测 系统 除了 记录 基本 事件 特征 外 ， 还 记录 应 用 层 信 息 ( 例 
如 用 户 名 、 文 件 名 、 命 令 、 状 态 码 等 )， 以 及 表明 活动 可 能 目的 的 信息 ,例如 攻击 的 类 型 ( 比 
如 缓冲 溢出 )、 针 对 的 漏洞 、 攻 击 是 否 成 功 等 。 

一 些 入 侵 检测 系统 可 以 被 配置 为 捕获 与 可 疑 活动 相关 的 数据 包 ， 这 就 从 只 记录 触发 
IDS 的 数据 包 发 展 到 标记 可 疑 的 活动 ， 进 而 发 展 到 记录 其 余 的 会 话 。 

一 些 入 侵 检 测 系统 甚至 有 能 力 记录 一 个 短 时 间 内 所 有 的 会 话 ， 以 便 一 旦 检测 到 可 疑 的 
事件 , 在 同一 会 话 中 先前 的 活动 都 能 保存 ， 这 样 ， 取 证 人 员 在 检查 报警 和 调查 可 疑 活动 时 ， 
可 以 审视 这 些 事先 捕获 的 数据 包 。 

还 有 一 些 入 侵 检 测 系统 有 入 侵 防 护 (Intrusion Prevention) 能 力 ， 即 能 主动 遏制 正在 发 生 
的 攻击 。 


13.3.4 ”远程 访问 服务 器 


VPN 网 关 和 调制 解 调 服 务 器 (Modem Servers) 等 ， 提 供 了 网 络 之 间 的 连接 能 力 ， 例 如 外 
部 的 系统 通过 远程 访问 服务 器 连接 到 内 部 系统 ， 以 及 内 部 的 系统 连接 到 外 部 系统 ， 或 者 内 
部 系统 。 

远程 访问 服务 器 通常 记录 每 一 个 连接 的 产生 ， 以 及 每 个 会 话 属于 哪 一 个 授权 的 账号 。 
远程 访问 服务 器 并 不 理解 应 用 程序 的 功能 ， 所 以 它 基 本 不 记载 任何 具体 应 用 程序 的 数据 。 
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网 络 中 还 经 常 存 在 很 多 其 他 特殊 的 应 用 程序 ， 用 来 提供 到 某 个 特定 主机 系统 的 远程 访 
问 ， 例 如 SSH、Telnet、 终 端 服务 、 远 程控 制 软件 、Client/Server 应 用 程序 等 。 


13.3.5 ”安全 事件 管理 (SEM) 软 件 


安全 事件 管理 (SEM) 软 件 用 来 从 多 种 不 同 的 网 络 通信 数据 源 ( 比 如 防火 墙 日 志 、 入 侵 检 
测 系统 日 志 等 ) 导 入 安全 事件 信息 ， 并 关联 这 些 数 据 源 的 事件 ， 将 其 规范 为 标准 格式 ， 最 后 
通过 匹配 瑟 地 址 、 时 间 标 记 及 其 他 特征 ， 来 识别 相关 的 事件 。 

SEM 不 产生 原始 的 事件 数据 ， 而 是 依靠 导入 的 事件 数据 ， 生 成 元 事件 数据 。 


13.3.6 网络 取 证 分 析 工 具 


网 络 取证 分 析 工 具 (Network Forensic Analysis Tools，NFAT) 在 单一 产品 中 提供 与 数据 包 
嗅 探 器 、 协 议 分 析 器 和 SEM 软件 一 样 的 功能 。 

与 SEM 主要 关联 存在 于 多 个 数据 源 的 事件 不 同 ， NEFAT 重点 在 于 收集 、 检 查 和 分 析 网 

此 外 ，NFAT 还 提供 下 述 功能 : 

@ ”通过 重 放 网 络 通信 数据 ， 重 建 事件 。 

@ 可视化 网 络 数据 通信 ， 以 及 主机 之 间 的 联系 。 

@ 建立 典型 入 侵 行为 的 模式 及 其 可 能 的 变化 。 

e@ ， 按 关 键 字 搜索 应 用 层 的 内 容 。 


13.3.7 ”其 他 来 源 


除 上 述 网 络 取 证 数据 源 外 ， 还 有 一 些 其 他 来 源 : 
密 钠 (Honeypot) 和 蜜 网 (Honeynet)。 

DHCP 服务 器 。 

网 络 监控 软件 。 

ISP( 互 联网 服务 提供 商 ) 记 录 。 

客户 端 /服务 器 (C/S) 应 用 程序 。 

主机 的 网 络 配置 和 连接 。 


13.4 收集 网 络 通信 数据 


在 正常 的 运行 中 ， 网 络 通信 数据 分 散 保存 在 各 处 。 

我 们 可 以 使 用 一 个 包 嗅 探 器 检查 一 个 主机 发 送 的 异常 数据 包 ， 也 可 以 就 某 一 个 特定 需 
使 用 相同 的 机 制 来 收集 记录 在 日 志文 件 或 者 包 捕 获 文件 中 的 网 络 通信 数据 。 

有 时 ， 屏 幕 截图 或 者 屏幕 照相 是 必需 的 。 

需要 格外 注意 的 是 ， 在 收集 网 络 流量 数据 时 ， 还 要 考虑 技术 和 法 律 方 面 的 问题 。 


加 


机 | 13.4.1 技术 问题 


(1) 关联 分 析 技 术 
关联 分 析 是 指 如 果 两 个 或 多 个 事物 之 间 存 在 一 定 的 关联 ， 那 么 其 中 一 个 事物 就 能 通过 


其 他 事物 进行 预测 ， 其 目的 是 为 了 挖掘 隐藏 在 数据 中 的 相互 关系 。 


在 数据 挖掘 的 基本 任务 中 ， 关 联 (Association) 和 顺序 序 贯 模型 (Sequencing) 关 联 分 析 ， 


是 指 搜索 事务 数据 库 (Transactional Databases) 中 的 所 有 细节 或 事务 , 从 中 寻找 重复 出 现 概率 
很 高 的 模式 或 规则 。 


关联 分 析 技 术 属 于 灰色 理论 中 的 一 种 分 析 方 法 。 它 包括 以 下 几 种 关联 : 

@ ”用 户 名 关联 。 

@ ”密码 关联 。 

@ 时间 关联 。 

@ 关系 人 关联 。 

(2) 关键 字 搜 索 技 术 

关键 字 搜索 技术 就 是 利用 某 一 或 者 某 些 特定 的 关键 字 , 对 一 定 范 围 内 的 信息 进行 搜索 ， 


查找 出 匹配 关键 字 的 内 容 的 过 程 。 


进行 关键 字 搜索 还 要 注意 选取 的 关键 字 不 能 太 短 ， 不 能 太 常 见 ， 搜 索 前 ， 尽 量 缩小 搜 


索 范 围 ， 以 提高 搜索 效率 。 


等 ， 


要 搜索 的 文字 可 能 使 用 不 同 的 字符 集 和 编码 方式 。 下 面 是 一 些 字符 集 和 编码 方式 。 
字符 集 是 指 文字 的 集合 , 对 每 一 个 文字 , 都 给 予 固 定 的 内 码 。 ASCII、 GB、BIG5、Unicode 
都 是 字符 集 。 

ASCII 是 美国 制定 的 标准 字符 集 ， 每 个 字符 占用 1 个 字 节 。 目 前 英文 、 数 字 都 使 用 该 


字符 集 。 


容 ， 


GB2312 是 国家 制定 发 布 的 字符 集 ， 每 个 文字 占用 两 个 字 节 。 该 字符 集 与 ASCII 码 兼 
目前 ， 简 体 中 文 都 使 用 该 字符 集 。 
BIG5 为 繁体 中 文字 符 集 ， 每 个 文字 占用 两 个 字 节 。 该 字符 集 与 ASCII 码 兼容 ， 与 GB 


码 不 兼容 ， 目 前 ， 繁 体 中 文 都 使 用 该 字符 集 。 


Unicode 字符 集 是 国际 标准 ， 包 含 全 世界 各 种 语言 的 字符 ， 每 个 文字 占用 两 个 字 节 。 
表 13-2 显示 了 Unicode 编码 的 编码 组 成 方式 。 


表 13-2 Unicode 编码 


Unicode 编码 UTF-8 
0000 一 007F OXXXXXXX 
0080—07FF 110XXXXX 10XXXXXX 
0800 一 FFFF 1110XXXX 10XXXXXX 10XXXXXX 


UTF-8 从 严格 意义 上 说 ， 不 是 字符 集 ， 是 为 了 与 使 用 单字 节 字符 串 软件 兼容 ， 使 用 一 


定 的 算法 对 Unicode 字符 进行 转换 ， 英 文字 符 转 换 成 1 个 字 节 ， 与 ACSI 码 相同 。 中 文字 


符 则 
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转换 成 3 个 字 节 。 
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数据 编码 是 根据 一 定 的 算法 将 数据 转换 成 需要 的 格式 。 常 见 的 数据 编码 有 以 下 几 种 。 

@ BASE64 编码 是 将 每 3 个 字 节 的 数据 编码 成 4 个 字 节 的 数据 。 主 要 用 于 电子 邮件 。 

@ Quoted Printable: 英文 编码 后 不 变 ， 汉 字 ( 两 个 字 节 ) 编 码 后 变 成 6 个 字 节 。 主 要 用 
于 电子 邮件 。 

@@ ”URL Encode 编码 : HTTP 协议 中 ，URL 的 参数 只 能 传递 可 显示 的 ASCI 字符 ， 如 
果 要 传递 空格 或 者 汉字 ， 则 需要 进行 URL Encode 编码 。 编 码 方式 是 每 个 字 节 转换 成 “%” 


号 ， 加 上 16 进 制 内 码 的 形式 ， 共 3 个 字 节 。 表 13-3 是 一 些 特殊 字符 的 URL 编码 。 
表 13-3 ”特殊 字符 的 URL 编码 

字 符 字符 的 含义 十 六 进 制 值 
十 URL 中 的 “+” 号 表示 空格 %2B 
空格 URL 中 的 空格 可 以 用 “+” 号 或 者 编码 %20 
/ 分 隔 目录 和 子 目录 %2F 
\ 分 隔 目录 和 子 目录 %5C 
分 隔 实际 的 URL 和 参数 %3F 
% 指定 特殊 字符 %25 
# 表示 书签 %23 
& URL 中 指定 的 参数 间 的 分 隔 符 9%626 
可 URL 中 指定 参数 的 值 %3D 
句号 %2E 
冒号 %3A 


(3) 结构 化 数据 搜索 技术 
利用 关键 字 搜 索 技术 ， 还 可 以 搜索 结构 化 数据 。 可 以 使 用 GREP 语法 描述 待 搜 索 的 结 
构 化 数据 。 主 要 的 GREP 语法 如 表 13-4 所 示 。 


表 13-4 主要 的 GREP 语法 


选 项 功 能 
-b 在 每 一 行 前 面 如 上 其 所 在 的 块 号 ， 根 据 上 下 文 定位 磁盘 块 时 可 能 会 用 到 
-c 显示 匹配 到 的 行 的 数目 ， 而 不 是 显示 行 的 内 容 
h 不 显示 文件 名 
-i 比较 字符 时 忽略 大 小 写 的 区 别 
-小 写 的 字母 ) 只 列 出 匹配 行 所 在 文件 的 文件 名 (每 个 文件 名 只 列 一 次 ), 文件 名 之 间 用 换行 符 分 隔 
n 在 每 一 行 前 面 加 上 它 在 文件 中 的 相对 行 号 
-5 无 声 操作 ， 即 只 显示 报错 信息 ， 用 于 检查 退出 状态 
-Vv 反 向 查找 ， 只 显示 不 匹配 的 行 
把 表达 式 作 为 词 来 查找 ， 就 好 像 它 被 \< 和 \> 夹 着 那样 。 只 适用 于 grep( 并 非 所 有 版 
本 的 grep 都 支持 这 一 功能 ， 辟 如 ，SCO Unix 就 不 支持 ) 


(4) 数据 存储 容量 

应 该 估算 日 志 使 用 的 典型 值 和 峰值 ， 决 定 应 该 保留 数据 多 少 小 时 或 多 少 天 ， 以 确保 系 
统 和 应 用 程序 有 足够 的 存储 容量 。 

(5) 加 密 数据 通信 

在 使 用 IPSec、SSH、SSL 等 协议 加 密 网 络 流 数据 ， 以 及 使 用 了 VPN 或 者 其 他 隧道 技 
术 时 ， 会 遇 到 加 密 数 据 的 情况 。 

数据 收集 设备 必须 位 于 能 看 到 解密 网 络 活动 的 地 方 。 

应 该 考虑 建立 有 关 管 理 制度 ， 规 范 网 络 中 加 密 技 术 的 合理 使 用 。 

(6) 服务 运行 在 不 明 端口 

很 多 服务 可 以 运行 在 任何 一 个 端口 号 上 。 为 了 躲 过 基于 端口 过 滤 的 设备 的 检测 ， 通 常 
有 一 些 方法 来 辨别 不 明 端 口 的 使 用 ， 包 括 : 

@ 配置 入 侵 检测 系统 的 传感器 ， 使 得 能 够 在 发 现 不 明 服 务 端口 的 连接 时 报警 。 

@ 配置 应 用 层 代 理 或 者 执行 协议 分 析 的 入 侵 检测 系统 传感器 ， 使 得 能 够 在 发 现 不 明 

协议 的 连接 时 报警 (例如 ，FTP 流量 数据 却 使 用 了 标准 的 HITP 端口 )。 

@ ”执行 流量 监测 ， 辨 认 新 的 和 不 常用 的 网 络 流 数 据 。 

@ ”在 需要 时 ， 配 置 一 个 协议 分 析 器 ， 来 分 析 特 定 流量 等 信息 。 

(7) 改变 进入 点 

避免 经 由 安全 设备 监控 的 主要 通道 进入 网 络 ， 而 是 利用 一 台 用 户 工 作 站 的 调制 解 调 器 
进入 。 对 网 络 潜在 的 进入 点 加 以 限制 ， 例 如 ， 调 制 解 调 器 和 无 线 访问 点 ， 以 确保 每 一 个 入 
口 点 都 在 安全 设备 的 监控 和 管制 之 下 。 

(8) 监控 失败 

系统 或 者 应 用 程序 不 可 避免 地 会 出 现 故 障 或 终止 运行 。 使 用 宛 余 设备 (例如 两 个 传感器 
监控 同一 个 活动 )， 就 能 减 小 监控 失败 造成 的 影响 。 执 行 多 极 监控 ， 例 如 配置 基于 网 络 的 监 
控 和 基于 主机 的 监控 来 记录 连接 。 

(9) 时 间 ( 日 期 ) 问 题 

调查 分 析 一 个 跨 时 区 的 恶意 网 络 攻 击 事件 时 ， 必 须 了 解 操作 系统 和 文件 的 时 间 ( 日 期 ) 
属性 ， 以 建立 正确 反映 事件 的 时 间 线 ， 还 原 事件 发 生 的 真实 次 序 。 不 同 的 操作 系统 或 者 文 
件 系统 对 其 日 期 、 时 间 值 有 不 同 的 处 理 方 法 。 

表 13-5 给 出 了 不 同 操作 系统 中 ， 文 件 或 者 目录 的 时 间 属 性 标签 的 含义 。 

表 13-5 ”时 间 属 性 标签 的 含义 

操作 系统 时 间 标签 
最 后 修改 时 间 对 于 文件 ， 指 的 是 文件 最 后 写 入 的 时 间 ; 对 于 目录 ， 指 的 
ast Modification Time) 是 其 中 项 目的 最 后 添加 、 改 名 或 删除 的 时 间 
最 后 访问 时 间 对 于 文件 ， 指 的 是 最 后 读 的 时 间 ; 对 于 目录 ， 指 的 是 最 后 
(Last Access Time): 被 搜索 的 时 间 


最 后 状态 改变 时 间 包括 改变 所 有 者 、 改 变 访问 权限 、 改 变 目录 项 连接 情况 等 
Last Status Change 对 文件 的 任何 明显 的 改变 


Unix 
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续 表 
操作 系统 时 间 标 签 含义 
创建 时 间 通常 指 文件 创建 的 时 间 ， 即 文件 或 目录 第 一 次 被 创建 或 者 
(Creation Time) 写 到 磁盘 上 的 时 间 
所 有 的 操作 系统 都 支持 的 文件 标签 , 也 是 在 DIR 命令 或 者 
默认 状态 下 文件 /资源 管理 器 显示 给 用 户 的 时 间 标签 。 通 常 
是 指 对 文件 做 出 任何 形式 的 最 后 修改 的 时 间 , 例如 应 用 软 
件 对 文件 内 容 做 修改 (打开 文件 , 任何 方式 的 编辑 , 然后 写 
回 磁盘 ) 
某 种 操作 最 后 施加 于 文件 或 目录 上 的 时 间 ， 这 种 操作 包括 
写 入 、 复 制 、 用 查看 器 查看 、 应 用 程序 打开 或 打印 ， 以 及 
- 些 方式 的 运行 ， 几 乎 所 有 对 文件 的 操作 都 会 更 新 这 个 时 
间 ( 包 括 使 用 资源 管理 器 查看 文件 目录 ， 但 DOS 中 的 DIR 
命令 不 会 ) 
虽然 计算 机 系统 总 是 根据 一 些 规则 在 需要 时 自动 地 更 新 时 间 标 签 (如 表 13-6 所 示 )， 但 
文件 的 时 间 标 签 是 可 以 人 为 改变 的 。 
另外 ， 一 些 工 具 软件 可 以 用 来 人 为 地 修改 时 间 标 签 。 
表 13-6 系统 执行 某 些 操作 时 更 新 时 间 标 签 


操 作 最 后 访问 时 间 
卷 内 移动 文件 不 变 不 变 
跨 卷 移动 文件 更 新 
复制 文件 目标 文件 ) 不 变 更 新 


最 后 写 /修改 时 间 
(Last Write/Modification Time) 


Windows 


最 后 访问 时 间 
(Last Access Time) 


13.4.2 法律 问题 


捕获 的 信息 可 能 涉及 到 隐私 或 者 安全 方面 。 

捕获 的 信息 ， 例 如 ， 电 子 邮件 和 文本 文件 的 长 时 间 存 储 ， 可 能 会 违反 企业 的 相关 数据 保 
留 规定 。 

制定 相应 的 网 络 监控 制度 ， 在 系统 运行 的 某 处 设置 警示 标志 ， 提 醒 用 户 当 前 的 活动 可 
能 受到 监视 。 
明确 规定 在 未 经 许可 的 情况 下 ， 哪 些 类 型 的 数据 可 以 或 者 不 可 以 被 记录 ， 要 详细 描述 
请 求 和 同意 过 程 的 每 一 个 步骤 。 
保护 好 原始 日 志文 件 的 副本 、 中 心 设备 的 日 志文 件 、 解 释 和 分 析 程 序 的 日 志 数据 ， 以 
防止 任何 有 关 复 制 和 解释 过 程 真 实 性 的 质疑 。 


算 

贞 13.5 “检查 和 分 析 网 络 通信 数 据 
络 

全 13.5.1 ”辨认 相关 的 事件 


而 辨认 相关 的 事件 的 方法 一 般 有 以 下 两 个 。 

(1) 企业 内 的 工作 人 员 发 现 异常 ， 例 如 ， 接 到 报警 ， 和 用 户 涉及 安全 及 可 操作 性 相关 
问题 的 投诉 ， 分 析 人 员 被 要 求 查 明 相 应 的 网 络 活动 。 

(2) 分 析 人 员 在 例 行 查阅 安全 事件 数据 (入 侵 检测 数据 、 网 络 监 控 数据 、 防 火 墙 日 志 等 ) 
的 过 程 中 ， 发 现 了 需要 进一步 查 明 的 事件 。 

在 确认 了 事件 后 ， 需 要 了 解 一 些 事件 的 基本 信息 ， 以 展开 深入 调查 。 一 般 情 况 下 ， 可 
以 依据 事件 数据 的 来 源 ， 直 接 定位 到 网 络 数据 源 设 备 (例如 入 侵 检测 系统 的 传感器 ， 或 者 防 
火 墙 ) 以 获取 更 多 信息 。 

Web 服务 是 受到 攻击 最 多 的 服务 。 常 见 的 Web 应 用 层 攻击 方式 有 下 列 几 种 : 
参数 算 改 攻击 。 
缓冲 区 溢出 攻击 。 
算 改 Cookies 攻击 法 。 
命令 植 入 攻击 法 。 
跨 站 脚本 攻击 。 

e@ SQL 注入 攻击 。 

在 想 要 发 现 Web 攻击 的 时 候 ， 查 看 Web 服务 器 的 记录 ， 是 一 种 最 直接 和 有 效 的 方法 。 
在 Web 服务 器 日 志 中 ， 可 用 对 应 的 关键 字 来 进行 搜索 ,检查 日 志文 件 中 是 否 有 可 疑 的 安全 
事件 : 


企图 运行 可 执行 文件 或 脚本 的 多 次 失败 的 命令 。 
来 自 一 个 IP 地 址 的 过 多 失败 的 登录 尝试 。 
访问 和 修改 .bat 或 .cmd 文件 的 失败 尝试 。 
未 经 授权 ， 企 图 将 文件 上 载 到 包含 可 执行 文件 的 文件 夹 等 。 

下 面 介 绍 Windows 系统 日 志 的 查看 方法 ， 读 者 可 以 自行 实践 。 

在 入 侵 过 程 中 ， 入 侵 者 往往 会 通过 一 定 的 手段 ， 获 得 远程 计算 机 的 管理 员 权限 ， 并 通 
过 远程 登录 控制 该 计算 机 ， 从 而 能 够 进行 进一步 的 渗透 攻击 。 

当 计 算 机 被 入 侵 时 ， 往 往 会 留 下 一 些 蛛丝马迹 ， 查 看 操作 系统 的 日 志 ， 是 一 个 最 简单 
的 办 法 。 

在 此 ， 以 Windows 2003 操作 系统 为 例 进 行 介绍 。 

在 “我 的 电脑 ”上 右 击 ， 从 弹出 的 快捷 菜单 中 选择 “管理 ”命令 ， 即 可 打开 计算 机 管 
理 窗口 。 

如 图 13-8 所 示 为 Windows 2003 中 的 计算 机 管理 主 界面 。 

在 左 侧 可 以 找到 “事件 查看 器 ”一 “安全 性 ”， 打 开 后 ， 可 以 看 到 该 系统 的 登录 注销 
记录 。 如 图 13-9 所 示 是 一 些 安全 性 相关 的 日 志 记录 。 
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图 13-8 


计算 机 管理 主 界面 
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文件 四) 换 作 必 ) 查看 Q) 窗口 如 帮助 0 


| za 


中 必 | 外 加 | 多 日 驴 | 区 加 


村 计算 机 管理 本 地 ) 
系统 | 市 村 
日 加 事件 查看 器 李 证 成功 
应 用 邻 审核 成 功 
系统 人 
由 让 共享 文件 夹 ie 
由 六 本 地 用 户 和 组 Ri 
由 全 性 能 日 志和 和 芝 报 5 
dee 人 市 成功 
由 鹃 服务 和 四 用 程序 Ps 


2013-10-15 
2013-10-15 
2013-10-15 
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10:56:06 
10:58:06 
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17:43:47 
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17:22:45 
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Security 


Security 


登录 / 576 Adninistrato 


登录 / S28 Adaninistrato 
登录 / S52 SISTEN 

帐户 登录 。 860 Adninistrator 
登录 / S76 LOCAL SERVTCI 
登录 / S28 LOCAL SERVTCI 
性 录 /， S76 NETWORK SER. 
登录 / S28 WETWORK SER. 
登录 / S28 SISTEM 

登录 / 538 IUSR_XXO0-C, 
登录 / 540 IUSR_XXO0-C.. 
车 录 / S52 NETWORK SER. 
帐户 登录 680 IVSR_XX00-C. 
熙 录 / 538 IVSR_XX00-C. 
登录 /，，。 540 IUSR_XXO0-C. 
登录 / S52 NETWORK SPR. 
帐户 登录 680 IVSR_XX00-C. 


登录 / 538 IVSR_XX00-C. 
登录 / 540 IVSR_XX00-C. 


车 录 / S52 NETWORK SER. 
帐户 登录 680 IUSR_XX00-C. 
登录 / 538 IVSR_XXO0-C. 
登录 / 540 IUSR_XX00-C 
登录 / 552 NETWORK SER. 
帐户 登录 680 IVSR_XX00-C. 
登录 / 538 


IVSR_Xx00-C. ,到 | 
» 


i 
[EEX EE 


图 13-9 与 安全 性 相关 的 日 志 记 录 


通过 分 析 该 记录 ， 可 以 获得 很 多 有 用 的 信息 ， 例 如 各 账户 的 登录 时 间 统 计 等 。 
选择 “事件 查看 器 ”一 “系统 ”， 这 个 日 志 目 录 下 也 记录 着 许多 与 系统 有 关 的 事件 日 
志 。 如 图 13-10 所 示 为 系统 相关 的 事件 日 志 。 


计 
算 
机 文件 四 拘 作 凶 查看 窗口 电 。 帮助 加 
网 9+| 和 由 | 加 | 命 日 忆 | 岛 国 
络 013-10-15 Si pn 
oe 2013-10-15 Service central 有 .无 T036 WA 
浆 2013-10-15 Service Control 有.， 无 T036 WA 
全 2013-10-15 Service Control 由 .无 T036 WA 
3 2013-10-15 Serviee Control 无 T035 Administrato 
基 2013-10-15 Service central ， 无 T036 WA 
础 2013-10-15 Service Control il.， 无 T036 WA 
I 2013-10-15 Service Control fl 无 T035 Adninistrator 
2013-10-15 Service control.， 无 To3 WA 
2013-10-15 Service Control 有. 无 To35 。 SYSTB 
2013-10-15 Service Control il ， 无 T036 WA 
2013-10-15 Service Control 用 无 To035 srsTEN 
2013-10-15 Service Control ml ， 无 T036 WA 
2013-10-15 Serviee Control 无 To35 。 STSTB 
2013-10-15 Service Control 无 T036 WA 
2013-10-15 Service Control 由 .无 7035 。 SYSTB 
2013-10-15 Serviee central 由- 无 7036 NW/A 
2013-10-15 Service central 上,， 无 7035 SrSTHN 
2013-10-15 Service Control 有 .无 T036 WA 
2013-10-15 Service Control 用. 无 T036 WA 
2013-10-15 Serviee Control 有 .无 To35 StsTEN 
2013-10-15 Service Control il ， 无 To35 。 SYSTB 
2013-10-15 SEEG2 无 1076 。 Aaninistraton 
2013-10-15 TaeTine 无 35 WA 
2013-10-15 TPsec 无 4294 A 
2013-10-15 IPsec 无 4295 WA 5 
» 
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13-10 与 系统 相关 的 事件 日 志 


具体 的 事件 内 容 可 以 通过 查询 相关 的 事件 ID 来 获得 。 

e@ ”事件 ID6005: 表示 开机 。 

@ 事件 ID6006: 表示 关机 。 

选择 “事件 查看 器 ”一 “应 用 程序 ”， 对 应 的 日 志 目录 下 记录 着 与 应 用 程序 有 关 的 事 
件 日 志 。 如 图 13-11 所 示 是 与 应 用 程序 有 关 的 事件 日 志 。 


局 文件 四 指 作 外， 查看 中， 窗口 WD 帮助 o |=lel2 
中 小 | 徊 | 
加 计算 机 管理 生地] 
二 素 纺 工具 2013-10-15 。 14:4114 veusr 无 105 WA 
团 事件 查看 器 2013-10-15 14:40:13 Perflib 无 2003 WA 
2013-10-15 。 14:40:13 Parfiet 无 2004 WA 
安全 性 2013-10-15 14:40:13 Perflib 无 1008 WA 
一 轩 系统 2013-10-15 14:39:44 Wlpgradelielper 无 271 WA 
昌 访 共享 文件 天 2013-10-15 14:39:44 WUper sdelielper 无 270 N/A 
由 全 本 地 用 户 和 姐 2013-10-15 14:39:44 WUper edellelper 无 258 WA 
中 全 te Ba 2013-10-15 。 14:39:43 。 CO 无 T81 WA 
由 i 2013-10-15 14:39:41 weteols 无 105 WA 
2013-10-15 14:39:41 EventSysten 无 4625 N/A 
et 2013-10-15 14:39:41 NSDTC I 4193 NW/A 
2013-10-1 14:25:10 。 Peraib 无 2003 WA 
2013-10-1 14:25:10 。 Perget 无 2004 WA 
2013-10-1 14:25:10 。 Per 人 alih 无 1008 WA 
2013-10-1 。 14:24:41 WUpersdelielper 无 2 WA 
2013-10-1 14:24:41 WUpersdehelper 无 270 WA 
2013-10-1 14:24:40 WUperadelislper 无 258 WA 
2013-10-1 14:24:39 Collt 无 T81 WA 
2013-10-1 14:24:44 wmtools 无 105 WA 
2013-10-1 14:24:44 EventSysten 无 4625 N/A 
2013-10-1 14:24:43 。 RSDTC 4193 WA 
2013-9-27 18:23:36 Perflib 无 2003 N/A 
2013-9-27 18:23:38 。 Perget 无 2004 WA 
2013-9-27 18:23:38 Perdlib 无 1008 WA 
2013-9-27 18:23:18 WUpgrsdehielper 无 2 WA 
2013-9-27 。 16:23:18 Wp sdelielper 无 210 WA | 
» 
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图 13-11 与 应 用 程序 有 关 的 事件 日 志 
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当 系统 被 入 侵 以 后 ， 通 过 分 析 这 些 系统 记录 ， 人 往往 能 得 到 入 侵 者 登录 的 时 间 ， 及 进行 
的 相关 操作 等 信息 。 
和 注意 ;' Windows XP 与 Windows 7 系统 下 查看 系统 日 志 的 方法 与 Windows 2003 相同 。 


继续 辨认 相关 事件 的 内 容 ， 对 于 Web 服务 器 ， 一 般 的 辨认 步骤 如 下 。 
(1) 确定 入 侵 时 间 。 

(2) 从 日 志 中 找 木马 。 

(3) 确定 提升 权限 的 方式 。 


13.5.2 ”检查 数据 源 


检查 数据 源 可 从 少数 基本 的 、 主 要 的 数据 源 开始 调查 事件 。 在 对 每 一 个 数据 源 逐 一 检 
查 时 ， 考 虑 其 真实 性 。 首 先 相 信和 原始 的 数据 源 ， 然 后 验证 和 使 用 经 过 解释 的 数据 。 验 证 过 
程 应 该 基于 附加 的 数据 ， 同 时 ， 必 须 检 查 其 他 次 要 的 网 络 流量 数据 ， 因 为 检查 主要 数据 源 
时 ， 可 能 会 发 生 以 下 状况 : 

@ ”主要 数据 源 上 没有 数据 。 

@ 主要 数据 源 上 的 数据 不 充分 ， 或 者 无 法 确认 。 

®@ ”可 能 有 更 重要 的 数据 。 

另外 ， 我 们 在 收集 数据 时 ， 也 应 该 注意 数据 收集 的 先 


、 网 络 连接 

后 次 序 ， 哪 些 易 失 性 数据 应 该 收集 ， 取 决 于 具体 的 需求 。 一 一 一 一 
易 失 性 数据 具有 随时 间 而 改变 的 倾向 。 | | 

图 13-12 列 出 了 收集 的 优先 级 别 。 先 上 | 3、 内存 的 内 容 

根据 数据 源 的 不 同 价 值 ， 我 们 可 以 简单 地 排序 如 下 。 级 | [运行 的 进程 

别 中 

(1) IDS 软件 。 下 

(2) SEM 软件 。 了 5、 打 开 的 文件 

(3) NFAT 软件 。 6、 网 络 的 配置 

(4) 防火 墙 、 路 由 器 、 代 理 服务 器 和 远程 访问 服务 器 。 汉人 久久 的 肝 介 

(5) DHCP 记录 。 ee 

(6) 数据 包 嗅 探 器 。 图 13-12 收集 的 优先 级 顺序 


(7) 网 络 监控 。 
(8) ISP 记录 。 


13.5.3 ”对 检测 和 分 析 工 具 的 态度 


工具 可 以 帮助 我 们 更 好 地 过 滤 数 据 ， 以 期 能 够 最 直观 地 找到 有 价值 的 数据 ， 但 是 ， 数 
据 分 析 查 找 的 情况 千变万化 ， 每 种 情况 应 该 选用 最 合适 的 工具 ， 而 不 是 对 每 种 情况 都 用 一 
样 的 工具 ， 对 症 下 药 往 往 是 最 有 利 的 做 法 。 

另外 ， 选 用 工具 时 ， 也 要 注意 各 个 工具 的 不 足 ， 这 样 ， 才 能 不 让 有 价值 的 数据 从 我 们 
的 眼皮 底下 溜 走 。 


机 | 13.5.4 得 出 结论 


在 网 络 取证 得 出 结论 前 ， 要 确保 : 
规范 化 。 
消除 冲突 。 

排除 假象 。 

创建 证 据 链 和 事件 时 间 线 。 

分 析 过 程 中 ， 不 仅 要 记录 发 现 了 什么 ， 更 要 记录 是 如 何 发 现 的 。 
用 证 据 证 明 每 一 个 假设 。 

这 样 ， 才 能 确保 得 出 的 结论 准确 无 误 。 


13.5.5 攻击 者 的 确认 


读者 要 明确 一 点 ， 对 于 一 次 网 络 攻击 来 说 ， 确 认 攻 击 者 并 不 是 首先 要 完成 的 事情 ， 确 
认 攻 击 已 经 停止 和 恢复 系统 以 及 关键 数据 ， 是 更 重要 的 事情 。 如 果 攻 击 正 在 进行 ， 就 要 确 
认 攻 击 者 的 他 地 址 ， 以 便 阻止 攻击 。 但 要 注意 : 
@ ”攻击 者 可 能 采用 假冒 的 了 P 地址 。 
e@ 攻击 者 可 能 来 自 许 多 的 源 了 P 地 址 。 
@ 攻击 者 耳 地 址 的 合法 性 。 
确认 攻击 已 经 停止 后 ， 有 几 种 证 实 可 疑 主机 身份 的 方法 : 
@ ”联系 全 地 址 的 所 有 者 。 
给 卫 地 址 发 送 网 络 通信 。 
寻求 ISP 的 帮助 。 
调查 IP 地 址 的 历史 。 
在 应 用 程序 内 容 中 找寻 线索 。 
最 后 ， 给 读者 几 个 在 检查 和 分 析 网 络 通信 过 程 中 的 建议 : 
应 该 有 对 涉及 隐私 和 敏感 信息 的 管理 策略 。 
应 该 提供 充分 的 网 络 活动 日 志 的 存储 容量 。 
应 该 配置 数据 源 ， 加 强 信息 收集 的 能 力 。 
分 析 人 员 应 该 有 相当 综合 的 技术 知识 。 
分 析 人 员 应 该 考虑 每 一 个 数据 源 的 真实 性 和 价值 。 
分 析 人 员 应 该 关注 事件 的 特征 和 影响 。 


练习 。 思 考题 


. 网 络 攻击 和 防御 分 别 包 括 哪些 内 容 ? 

. 简要 说 明 网 络 取证 有 哪些 特点 。 

. 简 述 计算 机 取证 与 传统 取证 的 区 别 。 

. 简 述 常用 的 网 络 服务 及 提供 服务 的 默认 端口 。 


上 mm PR 一 
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5. 详细 说 明 网 络 取证 的 数据 源 有 哪些 。 

6. 详细 说 明 辩 认 相 关 事件 的 方法 。 

7. 简要 说 明 在 最 终 确认 攻击 者 的 时 候 ， 应 该 注意 哪些 问题 。 

8. 简 述 ping 指令 、ipconfig 指令 、netstat 指令 、net 指令 和 at 指令 的 功能 和 用 途 。 

. 通过 本 章 的 学 习 ， 了 解 了 一 些 计 算 机 取证 的 方法 ， 作 为 信息 安全 专业 的 学 生 ， 还 应 
该 注意 的 是 如 何 能 防止 在 网 上 留 下 痕迹 (证 据 )。 这 也 关乎 个 人 隐私 问题 。 可 以 从 键盘 /鼠标 / 
文件 /网 址 /浏览 时 间 等 方面 来 考虑 。 


bo) 
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一 谈 计 算 机 病毒 ， 足 以 令 人 谈 “ 毒 ”变色 。 硬 盘 数据 被 清空 ， 网 络 连 接 被 指 断 ， 好 好 
的 机 器 变 成 了 毒 源 , 开始 传染 其 他 计算 机 。 中 了 病毒 , 载 梦 便 开始 了 。 有 报告 显示 , 仅 2008 
年 ， 计 算 机 病毒 在 全 球 造 成 的 经 济 损失 就 高 达 85 亿美 元 。 

计算 机 病毒 现 身 江湖 已 多 年 ， 可 以 追溯 到 计算 机 科学 刚刚 起 步 之 时 ， 那 时 ， 己 经 有 人 
想 出 破坏 计算 机 系统 的 基本 原理 。1949 年 ， 科 学 家 约翰 * 冯 * 诺 依 曼 指出 ， 可 以 自我 复制 的 
程序 并 非 天 方 夜 谭 。 不 过 几 十 年 后 ， 黑 客 们 才 开 始 真正 编制 病毒 。 直 到 计算 机 开始 普及 ， 
计算 机 病毒 才 引 起 人 们 的 注意 。 


14.1 计算 机 病毒 概述 


计算 机 病毒 最 早出 现在 20 世 纪 70 年 代 David Gerrold 的 科幻 小 说 When H.A.RL.IE. was 
One 中 ， 最 早 的 科学 定义 出 现在 1983 年 ，Fred Cohen 的 博士 论文 “计算 机 病毒 ”中 ， 描 述 
为 “一 种 能 把 自己 (或 经 演变 ) 注 入 其 他 程序 的 计算 机 程序 ”。 

计算 机 病毒 (Computer Virus) 在 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 
有 明确 定义 ， 病 毒 指 “ 编 制 者 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数 
据 ， 影 响 计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 而 在 一 般 教科 
书 及 通用 资料 中 ， 定 义 为 “利用 计算 机 软件 与 硬件 的 缺陷 ， 由 被 感染 机 内 部 发 出 的 破坏 计 
算 机 数据 并 影响 计算 机 正常 工作 的 一 组 指令 集 或 程序 代码 ”。 

计算 机 病毒 具有 破坏 性 、 复 制 性 和 传染 性 。 病 毒 必须 满足 以 下 两 个 条 件 : 

e@ 它 必须 能 自行 执行 。 它 通常 将 自己 的 代码 置 于 另 一 个 程序 的 执行 路 径 中 。 

@ 它 必 须 能 自我 复制 。 例 如 ， 它 可 能 用 受 病毒 感染 的 文件 副本 替换 其 他 可 执行 文件 。 

病毒 既 可 以 感染 桌面 计算 机 ， 也 可 以 感染 网 络 服务 器 。 


14.2 计算 机 病毒 的 分 类 


根据 多 年 对 计算 机 病毒 的 研究 ， 按 照 科学 的 、 系 统 的 、 严 密 的 方法 ， 计 算 机 病毒 可 按 
照 以 下 几 种 计算 机 病毒 的 属性 进行 分 类 。 

(1) 按照 计算 机 病毒 的 存在 媒介 进行 分 类 

根据 病毒 存在 的 媒介 ， 病 毒 可 以 划分 为 网 络 病毒 、 文 件 病毒 、 引 导 型 病毒 三 种 。 

@ ”网 络 病毒 ， 通 过 计算 机 网 络 传播 ， 感 染 网 络 中 的 可 执行 文件 。 

@ ”文件 病毒 :感染 计算 机 中 的 文件 (如 COM、EXE、DOC 等 )。 

@ ”引导 型 病毒 :感染 启动 扇 区 (Boot) 和 硬盘 的 系统 引导 扇 区 (MBR)。 

混合 型 病毒 包含 以 上 三 种 特性 中 的 两 种 以 上 。 例 如 ， 多 型 病毒 (文件 和 引导 型 ) 感 染 文 
件 和 引导 扇 区 两 种 目标 ， 这 样 的 病毒 通常 都 具有 复杂 的 算法 ， 它 们 使 用 非常 规 的 办 法 侵入 
系统 ， 同 时 使 用 了 加 密 和 变形 算法 。 


第 14 章 病毒 与 内 容 过 法 @@ 


(2) 按照 计算 机 病毒 的 传染 渠道 进行 分 类 

根据 病毒 传染 的 方法 ， 可 分 为 驻 留 型 病毒 和 非 驻 留 型 病毒 。 

e@ ”了 驻 留 型 病毒 感染 计算 机 后 ， 把 自身 的 内 存 驻 留 部 分 放 在 内 存 (RAM) 中 ， 这 一 部 
分 程序 挂 接 系统 调用 ， 且 合并 到 操作 系统 中 去 ， 处 于 激活 状态 ， 一 直到 关机 或 重 
新 启动 。 

@ 非 驻 留 型 病毒 : 在 得 到 机 会 激活 时 ， 并 不 感染 计算 机 内 存 ， 一 些 病毒 在 内 存 中 留 
有 小 部 分 ， 但 是 ， 并 不 通过 这 一 部 分 进行 传染 。 

(3) 按照 计算 机 病毒 的 破坏 能 力 进行 分 类 

根据 病毒 的 破坏 能 力 的 大 小 ， 可 分 为 无 害 型 病毒 、 无 危险 型 病毒 、 危 险 型 病毒 、 非 常 

危险 型 病毒 。 

@ ”无 害 型 除了 传染 时 减少 磁盘 的 可 用 空间 外 ， 对 系统 没有 其 他 影响 。 

@ ”无 危险 型 : 这 类 病毒 仅仅 是 减少 内 存 、 显 示 图 像 、 发 出 声音 

@ 危险 型 : 这 类 病毒 在 计算 机 系统 操作 中 造成 严重 的 错误 。 

@ 非常 危险 型 ， 这 类 病毒 删除 程序 、 破 坏 数据 、 清 除 系统 内 存 区 和 操作 系统 中 重要 
的 信息 。 这 些 病 毒 对 系统 造成 的 危害 ， 并 不 是 本 身 的 算法 中 存在 危险 的 调用 ， 而 
是 当 它 们 传染 时 ， 会 引起 无 法 预料 的 和 灾难 性 的 破坏 。 由 病毒 引起 其 他 的 程序 产 
生 的 错误 也 会 破坏 文件 和 扇 区 ， 这 些 病 毒 也 按照 他 们 引起 的 破坏 能 力 划分 。 

(4) 按照 计算 机 病毒 的 算法 进行 分 类 

e@ 伴随 型 病毒 : 这 一 类 病毒 并 不 改变 文件 本 身 ， 它 们 根据 算法 ， 产 生 EXE 文件 的 伴 
随 体 ， 具 有 同样 的 名 字 和 不 同 的 扩展 名 (COM)， 例 如 ，XCOPY.EXE 的 伴随 体 是 
XCOPY.COM。 病毒 把 自身 写 入 COM 文件 ,并 不 改变 EXE 文件， 当 DOS 加 载 文 
件 时 ， 伴 随 体 优先 被 执行 到 ， 再 由 伴随 体 加 载 执行 原来 的 EXE 文件 。 

e@ ”蠕虫 型 病毒 ， 通过 计算 机 网 络 传播 ， 不 改变 文件 和 资料 信息 ， 利 用 网 络 从 一 台 机 
器 的 内 存 传播 到 其 他 机 器 的 内 存 ， 将 自身 的 病毒 通过 网 络 发 送 。 有 时 ， 它 们 在 系 
统 中 存在 ， 一 般 除了 内 存 ， 不 占用 其 他 资源 。 

e@ 寄生 型 病毒 ， 除了 伴随 和 “蠕虫 ” 型， 其 他 病毒 均 可 称 为 寄生 型 病毒 ， 它 们 依附 
在 系统 的 引导 扇 区 或 文件 中 ， 通 过 系统 的 功能 进行 传播 。 按 其 算法 不 同 可 分 为 : 
练习 型 病毒 ， 病 毒 自身 包含 错误 ， 不 能 进行 很 好 地 传播 ， 例 如 一 些 在 调试 阶段 的 
病毒 ; 诡秘 型 病毒 ， 这 类 病毒 一 般 不 直接 修改 DOS 中 断 和 扇 区 数据 ， 而 是 通过 设 
备 技术 和 文件 缓冲 区 等 DOS 内 部 修改 ， 不 易 看 到 资源 ， 使 用 比较 高 级 的 技术 ， 利 
用 DOS 空闲 的 数据 区 进行 工作 ; 变型 病毒 ， 又 称 幽灵 病毒 ， 这 一 类 病毒 使 用 一 个 
复杂 的 算法 ， 使 自己 每 传播 一 份 ， 都 具有 不 同 的 内 容 和 长 度 ， 它 们 一 般 的 做 法 是 
一 段 混 有 无 关 指令 的 解码 算法 ， 并 包含 被 变化 过 的 病毒 体 。 


14.2.1 特洛伊 木马 


木马 (Trojan Horse)， 是 从 希腊 神话 里 面 的 “特洛伊 木马 ”得 名 的 。 希 腊 人 在 一 只 假装 
祭礼 的 巨大 木马 中 ， 藏 匿 了 许多 希腊 士兵 ， 并 引诱 特洛伊 人 将 它 运 进 城内 ， 等 到 夜里 ， 
马 腹 内 的 士兵 与 城 外 士兵 里 应 外 合 ， 一 举 攻破 了 特洛伊 城 。 

而 现在 所 谓 的 特洛伊 木马 ， 正 是 指 那些 表面 上 是 有 用 的 软件 ， 实 际 目的 却 是 危害 计算 


算 | 机 安全 并 导致 严重 破坏 的 计算 机 程序 。 它 是 具有 欺骗 性 的 文件 (宣称 是 良性 的 ， 但 事实 上 是 
机 | 恶意 的 )， 是 一 种 基于 远程 控制 的 黑客 工具 ， 具 有 隐蔽 性 和 非 授权 性 的 特点 。 

入 所 谓 隐蔽 性 ， 是 指 木马 的 设计 者 为 了 防止 木马 被 发 现 ， 会 采用 多 种 手段 隐藏 木马， 这 
交 样 ， 服 务 端 即使 发 现 感染 了 木马 ， 也 难以 确定 其 具体 位 置 。 
基 


划 所 谓 非 授权 性 ， 是 指 一 旦 控制 端 与 服务 端 连接 后 ， 控 制 端 将 窃取 到 服务 端的 很 多 操作 
人 前 | 权限 ， 如 修改 文件 、 修 改 注册 表 、 控 制 鼠 标 /键盘 、 窃 取信 息 等 。 一 旦 中 了 木马 ， 你 的 系统 
可 能 就 会 门户 大 开 ， 毫 无 秘密 可 言 。 

特洛伊 木马 与 病毒 的 重大 区 别 ， 是 特洛伊 木马 不 具 传染 性 ， 它 并 不 能 像 病 毒 那样 复制 
自身 ， 也 并 不 “刻意 ”地 去 感染 其 他 文件 ， 它 主要 通过 将 自身 伪装 起 来 ， 吸 引用 户 下 载 执 
行 。 特 洛 伊 木马 中 包含 能 够 在 触发 时 导致 数据 丢失 甚至 被 窃 的 恶意 代码 ， 要 使 特洛伊 木马 
传播 ， 必 须 在 计算 机 上 有 效 地 启用 这 些 程序 ， 例 如 打开 电子 邮件 附件 ， 或 者 将 木马 捆绑 在 
软件 中 放 到 网 络 吸引 人 下 载 执行 等 。 现 在 的 木马 一 般 主要 以 窃取 用 户 相关 信息 为 目的 ， 相 
对 于 病毒 而 言 ， 我 们 可 以 简单 地 说 ， 病 毒 破坏 你 的 信息 ， 而 木马 窃取 你 的 信息 。 典 型 的 特 
洛 伊 木 马 有 灰 鸟 子 、 网 银 大 盗 等 。 


14.2.2 ”蠕虫 


蠕虫 (Worm) 也 可 以 算是 病毒 中 的 一 种 ， 但 是 ， 它 与 普通 病毒 之 间 有 着 很 大 的 区 别 。 一 
般 认为 ， 蠕 虫 是 一 种 通过 网 络 传播 的 恶性 病毒 ， 它 具有 病毒 的 一 些 共性 ， 如 传 揪 性、 隐蔽 
性 、 破 坏 性 等 ， 同 时 ， 具 有 自己 的 一 些 特征 ， 如 不 利用 文件 寄生 (有 的 只 存在 于 内 存 中 )， 
对 网 络 造成 拒绝 服务 ， 以 及 与 黑客 技术 相 结合 等 。 

普通 病毒 需要 传播 受 感染 的 驻 留 文件 来 进行 复制 ， 而 蠕虫 不 使 用 驻 留 文件 ， 即 可 在 系 
统 之 间 进 行 自我 复制 ， 普 通病 毒 的 传染 能 力主 要 是 针对 计算 机 内 的 文件 系统 而 言 ， 而 蠕虫 
病毒 的 传染 目标 ， 是 互联 网 内 的 所 有 计算 机 。 它 能 控制 计算 机 上 可 以 传输 文件 或 信息 的 功 
能 ， 一 旦 用 户 的 系统 感染 蠕虫 ， 里 虫 即 可 自行 传播 ， 将 自己 从 一 台 计算 机 复制 到 另 一 台 计 
算 机 ， 更 危险 的 是 ， 它 还 可 大 量 复 制 ， 因 而 ， 在 产生 的 破坏 性 上 ， 蠕 虫 病毒 也 不 是 普通 病 
毒 所 能 比拟 的 。 

网 络 的 发 展 ， 使 得 蠕虫 可 以 在 短 短 的 时 间 内 莹 延 整 个 网 络 ， 造 成 网 络 瘫 疾 。 局 域 网 条 
件 下 的 共享 文件 来、 电子 邮件 E-mail、 网 络 中 的 恶意 网 页 、 大 量 存在 着 漏洞 的 服务 器 等 ， 
都 成 为 蠕虫 传播 的 良好 途径 。 蠕 虫 病毒 可 以 在 几 个 小 时 内 莹 延 全 球 ， 而 且 蠕 虫 的 主动 攻击 
性 和 突然 爆发 性 ， 将 使 得 人 们 手足 无 措 。 此 外 ， 蠕 虫 会 消耗 内 存 或 网 络 带 宽 ， 从 而 可 能 
致 计算 机 崩溃 。 而 且 它 的 传播 不 必 通 过 “宿主 ”程序 或 文件 ， 因 此 ， 可 潜入 用 户 的 系统 ， 
并 人 允许 其 他 人 远程 控制 用 户 的 计算 机 ， 这 也 使 它 的 危害 远 较 普通 病毒 为 大 。 典 型 的 蠕虫 病 
毒 有 尼 姆 达 、 震 荡 波 、 熊 猫 烧香 等 。 


14.2.3 ” 宏 病 毒 

宏 病 毒 是 一 种 寄存 在 文档 或 模板 的 宏 中 的 计算 机 病毒 。 一 旦 打开 这 样 的 文档 ， 其 中 的 
宏 就 会 被 执行 ， 于 是 ， 宏 病毒 就 会 被 激活 ， 转 移 到 计算 机 上 ， 并 驻 留 在 Normal 模板 上 。 从 
此 以 后 ， 所 有 自动 保存 的 文档 都 会 “感染 ”上 这 种 宏 病 毒 ， 而 且 ， 如 果 其 他 用 户 打开 了 感 
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染病 毒 的 文档 ， 宏 病毒 又 会 转移 到 他 的 计算 机 上 。 


14.3 ”计算 机 病毒 的 特点 及 危害 


14.3.1 计算 机 病毒 的 特点 


计算 机 病毒 的 特点 主要 包括 繁殖 性 、 破 坏 性 、 传 染 性 、 潜 伏 性 、 隐 蔽 性 、 可 触发 性 等 。 

(1) 繁殖 性 

计算 机 病毒 可 以 像 生物 病毒 一 样 进 行 繁殖 ， 当 正常 程序 运行 的 时 候 ， 它 也 运行 自身 进 
行 复制 ， 是 否 具有 繁殖 、 感 染 的 特征 ， 是 判断 某 段 程序 是 否 为 计算 机 病毒 的 首要 条 件 。 

(2) 破坏 性 

计算 机 中 毒 后 ， 可 能 会 导致 正常 的 程序 无 法 运行 ， 把 计算 机 内 的 文件 删除 或 受到 不 同 
程度 的 损坏 。 通 常 表现 为 增 、 删 、 改 、 移 。 

(3) 传染 性 

计算 机 病毒 不 但 本 身 具 有 破坏 性 ， 更 有 害 的 是 具有 传染 性 ， 一 旦 病毒 被 复制 ， 或 产生 
变种 ， 其 速度 之 快 令 人 难以 预防 。 传 染 性 是 病毒 的 基本 特征 。 在 生物 界 ， 病 毒 通过 传染 ， 
从 一 个 生物 体 扩散 到 另 一 个 生物 体 。 在 适当 的 条 件 下 ， 它 可 得 到 大 量 繁殖 ， 并 使 被 感染 的 
生物 体 表现 出 病症 甚至 死亡 。 同 样 ， 计 算 机 病毒 也 会 通过 各 种 渠道 ， 从 已 被 感染 的 计算 机 
扩散 到 未 被 感染 的 计算 机 ， 在 某 些 情况 下 ， 造 成 被 感染 的 计算 机 工作 失常 甚至 瘫痪 。 

与 生物 病毒 不 同 的 是 ， 计 算 机 病毒 是 一 段 人 为 编制 的 计算 机 程序 代码 ， 这 段 程序 代码 
一 旦 进入 计算 机 并 得 以 执行 ， 它 就 会 搜寻 其 他 符合 其 传染 条 件 的 程序 或 存储 介质 ， 确 定 目 
标 后 ， 再 将 自身 代码 插入 其 中 ， 达 到 自我 繁殖 的 目的 。 只 要 一 台 计 算 机 染 毒 ， 如 不 及 时 处 
理 ， 那 么 ， 病 毒 会 在 这 台电 脑 上 迅速 扩散 ， 计 算 机 病毒 可 通过 各 种 可 能 的 渠道 ， 如 硬盘 、 
移动 硬盘 、 计 算 机 网 络 去 传染 其 他 的 计算 机 。 当 我 们 在 一 台 机 器 上 发 现 了 病毒 时 ， 往 往 曾 
在 这 台 计 算 机 上 用 过 的 存储 介质 已 感染 上 了 病毒 ， 而 与 这 台 机 器 相 联 网 的 其 他 计算 机 也 许 
也 被 该 病毒 染 上 了 。 是 否 具有 传染 性 是 判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 条 件 。 

(4) 潜伏 性 

有 些 病毒 像 定 时 炸弹 一 样 ， 让 它 什 么 时 间 发 作 ， 是 预先 设计 好 的 。 比 如 黑色 星期 五 病 
毒 ， 不 到 预定 时 间 一 点 儿 都 觉察 不 出 来 ， 等 到 条 件 具 备 的 时 候 ， 一 下 子 就 爆炸 开 来 ， 对 系 
统 进行 破坏 。 一 个 编制 精巧 的 计算 机 病毒 程序 ， 进 入 系统 后 一 般 不 会 马上 发 作 ， 因 此 ， 病 
毒 可 以 静 静 地 躲 在 磁盘 或 磁带 里 呆 上 几 天 ， 甚 至 几 年 ， 一 旦 时 机 成 熟 ， 得 到 运行 的 机 会 ， 
就 又 要 四 处 繁殖 、 扩 散 ， 继 续 危 害 。 

潜伏 性 的 另 一 种 表现 ， 是 指 计算 机 病毒 的 内 部 往往 有 一 种 触发 机 制 ， 不 满足 触发 条 件 
时 ， 计 算 机 病毒 除了 传染 外 ， 不 做 什么 破坏 。 触 发 条 件 一 旦 得 到 满足 ， 有 的 在 屏幕 上 显示 
信息 、 图 形 或 特殊 标识 ， 有 的 则 执行 破坏 系统 的 操作 ， 如 格式 化 磁盘 、 删 除 磁盘 文件 、 对 
数据 文件 做 加 密 、 封 锁 键盘 ， 以 及 使 系统 死 锁 等 。 

(5) 隐蔽 性 

计算 机 病毒 具有 很 强 的 隐蔽 性 ， 有 的 可 以 通过 病毒 软件 检查 出 来 ， 有 的 根本 就 查 不 出 
来 ， 有 的 时 隐 时 现 、 变 化 无 常 ， 这 类 病毒 处 理 起 来 通常 很 困难 。 


(6) 可 触发 性 

病毒 因 某 个 事件 或 数值 的 出 现 ,， 诱 使 病毒 实施 感染 或 进行 攻击 的 特性 ， 称 为 可 触发 性 。 
为 了 隐蔽 自己 ， 病 毒 必须 潜伏 ， 少 做 动作 。 如 果 完 全 不 动 ， 一 直 潜伏 的 话 ， 病 毒 既 不 能 感 
染 ， 也 不 能 进行 破坏 ， 便 失去 了 杀伤 力 。 病 毒 既 要 隐蔽 ， 又 要 维持 杀伤 力 ， 它 必须 具有 可 
触发 性 。 病 毒 的 触发 机 制 就 是 用 来 控制 感染 和 破坏 动作 的 频率 的 。 病 毒 具 有 预定 的 触发 条 
件 ， 这 些 条 件 可 能 是 时 间 、 日 期 、 文 件 类 型 或 某 些 特定 数据 等 。 病 毒 运行 时 ， 触 发 机 制 检 
查 预 定 条 件 是 否 满足 ， 如 果 满 足 ， 则 启动 感染 或 破坏 动作 ， 使 病毒 进行 感染 或 攻击 ;如 果 
不 满足 ， 则 使 病毒 继续 潜伏 。 


14.3.2 ”计算 机 病毒 的 危害 


(1) 对 计算 机 数据 信息 的 直接 破坏 作用 

大 部 分 病毒 在 激发 的 时 候 ， 直 接 破 坏 计算 机 的 重要 信息 数据 ， 所 利用 的 手段 有 格式 化 
磁盘 、 改 写 文件 分 配 表 和 目录 、 删 除 重要 文件 或 者 用 无 意义 的 “垃圾 ”数据 改写 文件 、 破 
坏 CMOS 设置 等 。 

(2) 抢占 系统 资源 

除 少 数 病毒 外 ， 其 他 大 多 数 病毒 在 动态 情况 下 都 是 常 驻 内 存 的 ， 这 就 必然 抢占 一 部 分 
系统 资源 。 病 毒 所 占用 的 基本 内 存 长 度 大 致 与 病毒 本 身 的 长 度 相 当 。 病 毒 抢占 内 存 ， 导 致 
内 存 减 少 ， 一 部 分 软件 不 能 运行 。 另 外 ， 还 有 一 些 病毒 通过 某 些 手 段 大 量 消 耗 系统 资源 ， 
导致 系统 资源 耗 尽 。 除 占用 内 存 外 ， 病 毒 还 抢占 中 断 ， 干 扰 系 统 运行 。 计 算 机 操作 系统 的 
很 多 功能 是 通过 中 断 调用 技术 来 实现 的 。 病 毒 为 了 传染 激发 ， 总 是 修改 一 些 有 关 的 中 断 地 
址 ， 在 正常 中 断 过 程 中 加 入 病毒 的 “ 私 货 ”， 从 而 干扰 系统 的 正常 运行 。 

(3) 占用 磁盘 空间 并 破坏 信息 

寄生 在 磁盘 上 的 病毒 总 要 非法 占用 一 部 分 磁盘 空间 。 

引导 型 病毒 的 一 般 侵占 方式 是 由 病毒 本 身 占据 磁盘 引导 扇 区 ， 而 把 原来 的 引导 区 转移 
到 其 他 扇 区 ， 也 就 是 引导 型 病毒 要 履 盖 一 个 磁盘 扇 区 。 被 覆盖 的 扇 区 数据 永久 性 丢失 ， 无 
法 恢复 。 

文件 型 病毒 利用 一 些 DOS 功能 进行 传染 , 这 些 DOS 功能 能 够 检测 出 磁盘 的 未 用 空间 ， 
把 病毒 的 传染 部 分 写 到 磁盘 的 未 用 部 位 去 。 所 以 ， 在 传染 过 程 中 ， 一 般 不 破坏 磁盘 上 的 原 
有 数据 ， 但 非法 侵占 了 磁盘 空间 。 一 些 文件 型 病毒 传染 速度 很 快 ， 在 短 时 间 内 感染 大 量 文 
件 ， 每 个 文件 都 不 同 程度 地 加 长 了 ， 就 造成 磁盘 空间 的 严重 浪费 。 

(4) 盗 取 用 户 的 私密 信息 

很 多 木马 病毒 及 后 门 程序 寄生 在 用 户 机 器 上 时 ， 会 在 后 台 监 视 用 户 活动 ， 并 盗 取 用 户 
的 私密 信息 ， 包 括 用 户 系统 信息 、 用 户 磁盘 上 的 重要 文件 、 一 些 账 户 的 登录 密码 ， 甚 至 网 
上 银行 的 支付 凭证 等 ， 严 重 危害 用 户 信 息 安全 。 攻 击 者 还 可 以 通过 一 些 远 程控 制 病毒 ， 达 
到 远程 控制 用 户 机 器 的 结果 。 


14.3.3 ”计算 机 病毒 感染 导致 的 损失 
计算 机 病毒 感染 导致 的 损失 基本 上 是 以 下 两 种 。 
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GD) 计算 机 内 部 有 用 信息 的 损失 

例如 ， 病 毒 感染 可 能 导致 某 些 文件 被 破坏 ， 以 至 无 法 寻 回 ， 而 这 些 文件 可 能 存放 着 重 
要 的 、 不 可 能 重新 得 到 的 数据 。 无 论 是 作为 个 人 用 户 还 是 企 事 业 用 户 ， 都 可 能 有 些 非常 重 
要 的 信息 保存 在 计算 机 系统 中 ， 这 种 信息 损失 的 价值 可 能 非常 大 。 

(2) 人 力 和 计算 机 时 间 方 面 的 损失 

清理 感染 病毒 的 计算 机 ， 或 者 重新 恢复 系统 (甚至 是 重新 安装 )， 都 需要 花费 时 间 。 恢 
复 各 种 可 恢复 的 信息 也 需要 花费 时 间 。 这 些 时 间 的 代价 有 时 是 可 以 计算 的 。 当 然 ， 也 可 能 
遇 到 某 些 不 可 延迟 的 工作 ， 由 于 计算 机 系统 被 病毒 破坏 ， 而 无 法 按时 完成 ， 造 成 无 法 弥补 
损失 的 情况 ， 也 是 可 能 出 现 的 。 


14.4 ”计算 机 病毒 的 防范 


计算 机 信息 系统 存在 着 计算 机 病毒 问题 ， 而 且 非 常 普遍 和 严重 ， 时 时 威胁 着 我 们 所 使 
用 的 计算 机 系统 。 特 别 是 在 网 络 高 度 发 展 的 今天 ， 大 量 的 计算 机 都 连接 在 一 个 世界 范围 的 
网 络 上 ,病毒 传播 到 你 所 使 用 的 计算 机 里 的 通道 始终 是 畅通 的 。 当 然 ， 即 使 在 这 种 情况 下 ， 
我 们 还 是 要 使 用 计算 机 、 使 用 计算 机 网 络 。 所 以 ， 无 论 哪个 角度 看 ， 计 算 机 病毒 防范 都 是 
必须 考虑 的 问题 。 这 个 问题 的 影响 范围 ， 从 大 处 说 是 国家 的 安全 、 部 门 的 正常 工作 秩序 、 
企业 的 经 济 利益 ， 甚 至 可 能 是 国家 、 企 业 生死 存亡 的 问题 ; 往 小 处 看 ， 是 个 人 的 工作 效率 、 
信用 和 时 间 ， 甚 至 牵涉 到 个 人 的 心情 和 生活 质量 。 

客观 地 说 ， 病 毒 防范 并 没有 一 种 万 全 之 策 ， 在 这 个 信息 广泛 流通 的 世界 里 ， 我 们 无 法 
提出 一 套 方案 ， 然 后 告诉 你 ， 只 要 你 依 葫芦 画 肚 ， 就 一 定 能 保证 在 与 别人 充分 共享 信息 的 
情况 下 ， 你 的 计算 机 也 绝 不 会 被 病毒 感染 。 我 们 要 研究 的 是 如 何 尽量 避免 出 现 问 题 ， 怎 样 
能 减少 病毒 干扰 的 可 能 性 ， 怎 样 即使 出 现 了 感染 情况 ， 也 能 把 受到 的 损害 减 到 最 小 。 在 这 
些 方面 ， 还 是 有 许多 值得 做 和 应 该 做 的 事情 。 


14.4.1 保持 清醒 的 头脑 


应 该 指出 ， 防 范 病毒 的 最 基本 要 素 ， 是 清醒 的 头脑 。 作 为 计算 机 的 使 用 者 ， 我 们 需要 
清楚 地 认识 到 病毒 的 存在 和 威胁 ， 理 解 病毒 的 机 理 ， 了 解 新 病毒 出 现 的 情况 ， 并 在 使 用 计 
算 机 的 过 程 中 时 刻 注意 病 毒 出 现 的 征兆 ， 在 出 现 这 类 征兆 时 ， 正 确 地 操作 和 处 理 。 这 种 基 
本 认识 是 任何 技术 都 无 法 取代 的 ， 也 是 每 个 计算 机 使 用 者 都 应 随时 关注 和 掌握 的 。 从 某 种 
意义 上 说 ， 全 世界 的 每 个 计算 机 用 户 都 是 一 个 信息 大 家 庭 的 成 员 ， 都 对 整个 信息 环境 的 清 
洁 负 有 一 份 责任 。 这 里 也 有 一 个 “守土 有 责 ” 的 问题 : 你 防止 了 病毒 对 自己 计算 机 的 感染 ， 
那么 你 不 仅 是 保护 了 自己 的 利益 ， 也 同时 保护 了 你 的 单位 、 企 业 、 同 事 、 朋 友和 亲戚 等 的 
利益 ， 也 保护 了 国家 和 社会 。 


14.4.2 ”对 进入 计算 机 的 信息 时 刻 保持 警惕 


病毒 只 有 通过 传播 、 通 过 信息 交换 才 可 能 进入 你 的 计算 机 ， 也 就 是 说 “ 病 从 口 入 ”。 
如 果 你 能 保证 没有 任何 外 来 信息 进入 你 的 计算 机 ， 或 者 保证 进入 计算 机 的 信息 都 不 包含 能 


算 | 够 给 计算 机 带 来 危害 的 病毒 代码 ， 那 么 你 的 计算 机 就 不 会 受到 感染 。 说 得 绝对 些 ， 如 果 你 
机 | 的 计算 机 里 所 有 的 信息 都 是 自己 工作 的 结果 ， 就 是 所 有 程序 都 是 自己 编 的 、 所 有 其 他 文件 
让 都 是 自己 输入 的 , 那么 计算 机 肯定 不 会 受到 外 来 病毒 的 感染 ,因为 根本 就 没有 外 来 的 信息 。 
> 由 于 计算 机 网 络 的 发 展 ， 计 算 机 之 间 交 流 信息 的 渠道 越 来 越 畅 通 ， 孤 立 使 用 的 计算 机 所 占 
基 


-| 比例 越 来 越 小 ， 这 些 信息 交流 也 给 病毒 传播 带 来 了 契机 。 在 这 种 情况 下 ， 我 们 就 应 该 对 计 
而 | 算 机 的 信息 交换 提高 警惕 ， 采 取 一 些 方法 ， 防 止 恶意 程序 流入 我 们 的 计算 机 中 。 

(D 使 用 正版 软件 

一 般 来 说 ， 正 规 厂 商 的 商品 软件 程序 是 能 够 保证 不 包含 病毒 的 ， 安 装 使 用 正版 软件 ， 
虽然 也 是 向 计算 机 里 面 装 入 程序 ， 但 通常 不 会 有 危险 (这 个 情况 也 有 例外 ， 例 如 曾经 有 些 厂 
商 为 防止 自己 的 软件 被 盗版 ， 就 在 软件 介质 里 加 入 了 某 种 病毒 性 质 的 程序 。 这 种 做 法 已 经 
遭 到 信息 领域 广大 用 户 的 谴责 ， 今 后 再 出 现 这 种 情况 的 可 能 性 不 太 大 了 )。 

而 盗版 的 软件 则 不 同 ， 由 于 它们 通常 没有 经 过 仔细 检查 , 包含 病毒 的 可 能 性 要 大 得 多 。 
过 去 盗版 软件 ， 特 别 是 盗版 游戏 软件 ， 曾 经 是 病毒 传播 的 主要 渠道 ， 在 人 们 随意 交流 游戏 
软件 的 情况 下 ， 病 毒 也 随 之 传播 开 来 。 相 对 而 言 ， 以 移动 盘 作 为 介质 的 盗版 软件 带 有 病毒 
的 可 能 性 更 大 ， 因 为 在 任何 一 个 复制 环节 中 都 可 能 引进 病毒 ， 而 光盘 介质 带 病毒 的 可 能 性 
小 一 些 ， 因 为 它 通常 是 大 规模 复制 的 ， 只 要 制作 时 所 用 的 母 盘 没有 病毒 ， 就 不 会 出 问题 。 

(2) 注意 程序 文件 的 拷贝 

应 该 理解 ， 有 一 些 文件 可 能 包含 病毒 ， 而 也 有 些 文件 则 不 可 能 包含 病毒 。 当 然 ， 这 种 
说 法 并 不 很 准确 ， 需 要 更 多 的 说 明 。 能 够 在 计算 机 系统 中 执行 的 东西 都 可 能 是 病毒 ， 或 者 
可 能 隐藏 着 病毒 代码 。 程 序 文件 就 是 这 样 的 东西 ， 在 一 般 的 PC 微型 机 里 ， 普 通 的 程序 文 
件 以 EXE 和 COM 作为 文件 扩展 名 。 但 是 ， 随 着 微软 公司 逐步 更 新 其 各 种 Windows 系统 ， 
微型 机 上 具有 程序 性 质 、 可 以 在 某 种 环境 中 执行 、 产 生 执 行 效果 的 文件 类 型 越 来 越 多 。 从 
本 质 上 说 ， 每 个 具有 程序 性 质 的 文件 都 有 可 能 是 病毒 ， 或 者 隐藏 有 病毒 代码 ， 而 程序 复制 
又 是 传播 病毒 的 主要 途径 。 因 此 ， 在 使 用 计算 机 的 过 程 中 ， 应 当 尽量 避免 将 程序 文件 从 一 
台 计算 机 复制 到 另 一 台 计算 机 。 

另 一 方面 ， 也 确实 有 些 文件 是 不 可 能 包含 病毒 性 代码 的 。 例 如 一 般 的 文本 文件 ， 其 内 
容 就 是 普通 的 可 显示 、 打 印 的 字符 。 接 收 和 复制 这 种 文件 总 是 安全 的 。 

(3) 谨慎 进行 网 络 软件 下 载 活动 

随 着 计算 机 网 络 的 发 展 ， 信 息 在 计算 机 间 传 递 的 方式 逐渐 发 生 了 变化 ， 许 多 信息 ， 包 
括 程序 代码 和 软件 系统 ， 是 通过 网 络 传输 的 ， 在 这 种 信息 交流 活动 中 ， 如 何 防止 病毒 是 需 
要 考虑 的 新 问题 。 今 天 ， 许 多 网 站 存储 着 大 量 共享 软件 和 自由 软件 ， 人 们 都 在 使 用 这 些 软 
件 ， 使 用 前 ， 要 通过 网 络 把 有 关 程 序 文件 下 载 到 自己 的 计算 机 中 。 做 程序 下 载 时 ， 应 该 选 
择 可 靠 的 、 有 实力 的 网 站 ， 因 为 他 们 的 管理 可 能 更 完善 ， 对 所 存储 的 信息 做 过 更 仔细 的 检 
查 。 随 意 下 载 程序 目前 已 经 成 为 受 病毒 伤害 的 一 个 主要 原因 。 

(4) 警惕 奇异 的 电子 邮件 及 其 附件 

近年 来 ， 病 毒 经 过 电子 邮件 系统 传播 的 情况 层出不穷 ， 并 多 次 造成 大 的 爆发 性 流行 。 
这 种 现象 ， 一 方面 是 由 于 某 些 软件 厂商 系统 设计 中 的 内 在 缺陷 ， 例 如 微软 公司 的 电子 邮件 
软件 的 设计 缺陷 ， 是 “ 美 莉 莎 ”、“ 爱 虫 ”等 病毒 蔓延 的 基础 ; 另 一 方面 ， 也 是 病毒 制造 
者 攻击 重点 转移 的 结果 。 这 类 病毒 出 现 的 征兆 ， 是 接 到 了 一 个 奇怪 的 邮件 (例如 是 来 历 不 
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明 的 ， 当 然 ， 也 可 能 就 来 自 你 非常 熟悉 的 人 )， 它 又 带 有 奇怪 的 附件 。 这 种 邮件 常常 带 有 引 
人 注意 的 标题 ， 例 如 ， 告 诉 你 附件 内 容 “非常 重要 ”， 或 者 用 诱惑 性 的 语言 引起 你 的 好 奇 
和 遐想 。 其 实 ， 如 果 你 不 打开 它 ， 它 对 你 根本 没有 任何 危害 ， 直 接 将 其 删除 ， 你 绝 不 会 有 
任何 损失 ， 而 如 果 打开 了 它 ， 它 对 你 就 真正 是 “非常 重要 ”了 ， 经 常 可 能 让 你 手忙脚乱 好 
一 阵 。 我 们 提倡 的 原则 是 ， 对 于 来 历 不 明 的 邮件 ,一 定 要 谨慎 处 理 ,不 要 随便 打开 其 附件 ; 
如 果 附件 是 程序 ， 更 应 该 直接 将 其 删除 。 

(5) 注意 防止 宏 病毒 和 其 他 类 似 病 毒 

对 于 防御 宏 病毒 的 问题 ， 存 在 着 两 个 方面 : 第 一 ， 对 于 文件 的 提供 方 ， 只 要 可 能 ， 就 
不 应 该 用 Word 文件 作为 信息 交换 的 媒介 。 这 方面 已 经 有 许多 实际 的 例子 ， 一 些 管理 部 门 
的 通知 ， 甚 至 是 网 络 部 门 的 通知 都 曾经 带 有 宏 病 毒 ， 实 际 上 是 给 所 有 用 户 的 “邮件 炸弹 ”。 
从 实际 情况 看 ， 这 些 通知 的 格式 很 简单 ， 完 全 没有 必要 用 Word 做 。 第 二 ， 作 为 Word 文件 
的 接收 方 ， 应 该 警惕 宏 病毒 ， 因 为 这 类 病毒 普遍 存在 。 微 软 公 司 对 防范 宏 病毒 提出 的 方案 
不 是 根本 上 修改 其 不 合理 设计 , 而 是 安装 了 一 个 开关 , 允许 你 设 定 Word 的 工作 方式 。 Word 
在 其 “工具 ”一 “选项 ”菜单 中 ， 通 过 常规 页 ， 提 供 “ 宏 病毒 防护 ”选项 。 如 果 你 选 了 此 
项 ， 那么， 在 被 打开 的 文件 中 出 现 宏 的 时 候 ，Word 将 弹出 一 个 对 话 框 ， 通知 你 这 个 文档 里 
发 现 了 宏 ， 要 求 做 出 选择 (取消 宏 / 启 用 宏 )。 实 践 证 明 ， 这 种 方式 是 很 不 安全 的 ，“ 美 莉 莎 ” 
病毒 泛滥 就 是 因为 许多 人 想 也 没 想 ， 就 随手 打开 了 宏 ， 于 是 ， 自 己 的 计算 机 就 被 病毒 占领 
了 。 在 目前 情况 下 ， 我 们 应 该 采取 的 措施 是 : 一定 要 设置 “ 宏 病 毒 防护 ”功能 (如 上 所 述 ); 
对 于 准备 阅读 的 任何 Word 文档 ， 只 要 系统 弹出 对 话 框 ， 询 问 如 何 处 理 其 中 的 宏 ， 我 们 应 
该 总 选 “ 取 消 宏 ”， 除 非 明 确 知道 这 个 文档 有 极其 可 靠 的 来 源 (在 这 个 问题 上 ， 你 最 好 的 朋 
友 也 未 必 可 靠 )， 而且 确 实 是 一 个 使 用 了 宏 功 能 的 动态 文档 。 


14.4.3 ”合理 安装 和 使 用 杀 病 毒 软件 


面 对 如 今 层出不穷 的 各 类 杀毒 软件 ， 恐 怕 不 单 是 “菜鸟 ” 们 找 不 着 北 ， 连 一 些 “ 老 岛 ” 
也 颇 感 头痛 。 由 于 个 人 电脑 的 性 能 、 用 途 、 习 惯 、 兴 趣 甚至 心态 的 不 同 ， 形 成 了 自己 的 应 
用 软件 搭配 风格 ， 但 几乎 很 少 有 人 注意 到 这 其 中 的 技巧 。 很 多 人 认为 自己 的 电脑 里 装 了 杀 
毒 软件 就 万 事 大 吉 了 。 其 实 ， 到 目前 为 止 ， 世 界 上 没有 哪 一 家 杀毒 软件 生产 商 敢 承诺 可 以 
查 杀 所 有 已 知 病毒 ， 这 就 意味 着 即便 你 装 了 杀毒 软件 ， 也 绝 非 从 此 就 可 高 枕 无 忧 。 

作者 所 见 到 的 装备 了 杀毒 软件 的 机 器 仍然 被 病毒 侵蚀 的 案例 不 下 10 起 。 所 以 , 在 防范 
于 未 然 的 同时 ， 合 理 搭配 使 用 杀毒 软件 ， 也 是 必 不 可 少 的 。 为 数 不 少 的 人 总 是 喜欢 下 载 一 
大 堆 最 新 的 却 是 连 自己 也 不 知道 如 何 用 的 共享 杀毒 软件 ， 甚 至 装 了 又 删 ， 这 样 的 直接 后 果 
是 造成 系统 和 其 中 某 些 程序 产生 冲突 ， 而 使 系统 产生 前 溃 ， 注 册 表 也 会 因此 凌乱 、 腑 肿 ， 
系统 文件 也 有 可 能 被 误 删 等 ， 从 而 威胁 着 整个 系统 的 安全 。 

世界 上 已 经 出 现 过 的 计算 机 病毒 成 千 上 万 ， 杀 毒 软件 又 是 如 何 发 现 病毒 的 呢 ? 大 致 情 
况 是 这 样 的 ; 人 们 认为 每 种 病毒 都 有 它 在 内 容 编码 方面 的 识别 特征 。 杀 毒 软件 厂商 设计 好 
一 种 具有 普遍 适用 性 的 检查 文件 内 容 和 清除 病毒 的 程序 ， 它 使 用 一 个 特定 的 病毒 编码 信息 
文件 完成 其 检查 与 清除 病毒 的 工作 ， 可 以 认为 ， 这 个 文件 就 是 一 个 病毒 清单 。 杀 毒 软件 在 
启动 后 ， 装 入 有 关 的 病毒 清单 ， 而 后 就 对 照 着 这 个 清单 的 内 容 ， 检 查 计算 机 系统 和 系统 里 
的 各 种 文件 ， 一 旦 发 现 文件 中 存在 病毒 清单 里 列 出 的 病毒 特征 信息 ， 它 就 认为 该 文件 感染 


算 | 了 病毒 ， 进 而 将 设法 处 理 。 杀 毒 软件 的 开发 厂商 时 刻 都 在 关注 着 全 世界 计算 机 病毒 发 生 的 
机 | 新 情况 ， 一 旦 发 现 一 种 新 的 病毒 ， 他 们 就 立即 把 有 关 的 特征 信息 增加 到 自己 软件 的 病毒 表 
凡 里 ， 使 这 个 软件 又 能 发 现 和 清除 这 种 新 病毒 了 。 通 过 这 种 方式 ， 在 不 改变 杀毒 软件 本 身 的 
2 情况 下 ， 软 件 的 功能 范围 在 不 断 扩 大 ， 可 以 较 好 地 适应 计算 机 病毒 层出不穷 的 情况 。 
基 


根据 上 述 情况 ， 我 们 也 应 该 看 到 一 些 问题 ， 一 种 杀毒 软件 的 能 力 是 有 限 的， 最 根本 的 
础 | 是 软件 设计 本 身 的 限制 ， 如 果 软 件 的 设计 本 身 没有 把 某 个 (或 某 类 ) 病 毒 的 特殊 情况 考虑 进 
去 ， 那 么 ， 该 软件 就 不 可 能 发 现 这 个 (或 这 类 ) 病 毒 的 感染 。 这 也 就 是 说 ， 杀 毒 软件 有 漏 报 
病毒 的 可 能 性 。 当 然 ， 专 业 工 作者 也 在 努力 研究 检查 病毒 的 理论 与 技术 ， 努 力 提高 杀毒 软 
件 产品 本 身 的 处 理 能 力 ， 以 适应 社会 需要 。 

即使 一 个 杀毒 软件 具有 检查 、 清 除 某 个 病毒 的 潜力 ， 如 果 当 时 使 用 的 病毒 清单 里 没有 
列 入 这 个 病毒 (例如 ， 这 是 一 个 新 出 现 的 病毒 )， 该 软件 在 运行 时 也 会 对 这 个 病毒 的 存在 熟 
视 无 睹 。 这 种 情况 告诉 我 们 , 在 有 了 杀毒 软件 的 情况 下 ， 还 应 该 及 时 取得 最 新 的 病毒 清单 ， 
以 使 自己 的 软件 具有 最 强 的 实际 工作 能 力 ， 尤 其 是 在 某 个 造成 广泛 传播 和 破坏 的 新 计算 机 
病毒 被 发 现 后 。 

杀毒 软件 按照 病毒 清单 里 的 信息 检查 病毒 ， 这 种 检查 是 可 能 出 现 失误 的 ， 也 就 是 说 ， 
查 病毒 的 过 程 中 ， 可 能 出 现 误 报 的 情况 。 原 因 很 简单 ， 病 毒 信息 本 身 也 就 是 一 段 编 码 ， 如 
果 恰 好 某 个 正常 文件 里 出 现 了 这 段 编码 ， 杀 毒 软件 在 检查 这 个 文件 时 ， 也 就 可 能 误 认 为 是 
发 现 了 病毒 。 由 于 技术 的 进步 ， 杀 毒 软件 厂商 一 直 在 努力 提高 其 软件 正确 识别 病毒 的 能 力 ， 
减少 误 报 的 出 现 。 但 是 ， 从 理论 上 说 ， 误 报 的 可 能 性 是 不 能 排除 的 。 

病毒 对 计算 机 系统 、 对 它 所 感染 的 文件 究竟 造成 了 什么 破坏 ， 这 依赖 于 病毒 本 身 的 设 
计 ， 以 及 病毒 感染 的 情况 。 使 用 杀毒 软件 绝 不 能 保证 将 病毒 所 造成 的 破坏 逐一 恢复 ， 从 本 
质 上 来 说 ， 这 也 是 不 可 能 的 。 例 如 一 个 程序 文件 被 病毒 感染 ， 即 使 杀毒 软件 能 够 发 现 这 个 
感染 ， 能 够 清除 其 中 的 病毒 代码 (至 少 是 设法 使 病毒 无 法 再 次 执行 ， 无 法 进一步 传播 和 造成 
破坏 )， 但 “清除 ”病毒 之 后 的 程序 是 否 能 够 恢复 原状 、 是 否 还 能 工作 ， 这 些 都 没有 绝对 的 
保证 。 再 比如 ， 一 个 Word 文件 感染 了 宏 病 毒 ， 杀 毒 之 后 ， 是 否 还 能 正常 继续 使 用 ， 这 也 
不 一 定 有 保证 。 有 时 候 ， 文 件 里 病毒 作为 整体 被 消灭 了 ， 但 是 ， 其 “尸体 ”的 一 部 分 代码 
还 遗留 在 文件 里 ， 干 扰 文 件 (无 论 是 不 是 程序 文件 ) 的 正常 使 用 ， 甚 至 导致 该 文件 完全 不 能 
用 了 。 感 染病 毒 之 后 的 文件 会 变 大 ， 我 们 也 常常 会 发 现 杀毒 之 后 的 文件 不 能 恢复 原来 的 大 
小 ， 这 就 是 病毒 感染 的 后 遗 症 。 有 时 ， 留 有 后 遗 症 的 文件 能 正常 使 用 ， 这 是 万 幸 ;， 有 时 ， 
会 遇 到 文件 杀毒 后 无 法 使 用 的 情况 ， 这 时 ， 就 只 能 自 认 倒霉 了 。 和 杀毒 软 件 开发 者 同样 在 这 
个 方面 努力 ， 力 图 尽 可 能 地 将 文件 恢复 原状 ， 但 是 ， 这 种 努力 也 遇 到 了 某 些 本 质 性 的 困难 。 

所 以 ， 杀 毒 软件 只 应 该 作为 病毒 防范 的 一 个 辅助 工具 ， 还 有 更 多 的 工作 需要 靠 其 他 途 
径 来 实现 。 


14.4.4 及 时 备份 计算 机 中 有 价值 的 信息 


如 果 计 算 机 被 病毒 感染 了 , 我 们 最 后 的 希望 就 是 系统 里 的 重要 信息 最 好 不 丢失 。 但 是 ， 
病毒 的 破坏 是 多 种 多 样 的 ， 并 没有 一 定之 规 ， 它 们 的 活动 也 没有 什么 “自我 约束 ”， 希 望 
它 不 破坏 信息 只 能 是 一 厢 情 愿 。 在 重要 信息 保护 方面 ， 应 该 做 的 一 件 重要 事情 就 是 以 其 他 
方式 保存 。 例 如 ， 可 以 考虑 把 重要 信息 的 副本 保存 到 有 关 网 络 服务 器 上 ， 或 者 保存 到 软盘 


ED 
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上 (如 果 信 息 量 不 是 太 大 的 话 )。 保 存 信息 副本 不 仅 是 防 病毒 的 需要 ， 也 是 为 了 防止 计算 机 
系统 的 无 意 破坏 ， 例 如 ， 硬 件 或 者 系统 软件 的 故障 等 ， 有 备 无 患 。 对 于 重要 的 部 门 单 位 ， 
重要 计算 机 中 的 数据 ， 人 们 一 般 需 要 制定 一 套 常 规 的 备份 方案 ， 提 出 包括 每 日 、 每 周 、 每 
月 的 备份 计划 ， 通 过 一 些 设置 ， 大 型 计算 机 系统 可 以 定时 自动 地 完成 将 磁盘 重要 信息 保存 
到 后 备 存储 (例如 磁带 或 者 可 读 写 光盘 ) 的 工作 。 这 些 情况 也 值得 个 人 计算 机 的 使 用 者 参考 。 


14.4.5 ”时 刻 注意 计算 机 的 反应 


应 该 看 到 ， 病 毒 感染 计算 机 情况 的 出 现 ， 在 许多 时 候 是 由 于 操作 者 的 应 对 失当 。 许 多 
病毒 的 出 现 是 有 迹象 的 ， 例 如 ， 网 络 传 来 的 附件 里 的 病毒 、 宏 病毒 等 。 在 安装 了 杀毒 软件 
并 启动 了 实时 检测 功能 后 ， 许 多 病毒 在 出 现时 就 被 发 现 了 ， 如 果 在 这 些 时 候 恰 当地 处 理 ， 
就 能 立即 将 病毒 清除 ， 根 本 就 不 会 造成 任何 破坏 。 而 如 果 操 作 失当 ， 可 以 说 就 会 “一 失足 
成 千古 恨 ”， 事 情 就 很 难 弥补 了 。 作 为 计算 机 的 使 用 者 ， 我 们 应 该 时 刻 注意 计 算 机 的 反应 ， 
思考 后 再 操作 ， 这 应 该 是 一 种 习惯 ， 因 为 只 有 这 样 才能 用 好 计算 机 。 对 于 防 病毒 而 言 ， 这 
种 工作 方式 和 习惯 也 是 非常 重要 的 。 


14.5 内 容 过 滤 技 术 


过 滤 技 术 ， 从 本 质 上 来 说 ， 就 是 对 数据 进行 有 目的 的 筛选 。 在 计算 机 中 ， 所 有 的 操作 
都 是 通过 不 同 的 数据 来 实现 的 。 我 们 并 不 能 知道 所 有 数据 是 否 可 靠 ， 是 否 有 危害 性 ， 或 者 
有 的 时 候 ， 我 们 需要 从 千 千 万 万 的 数据 中 找到 我 们 需要 的 数据 ， 这 个 时 候 ， 就 需要 过 滤 技 
术 来 实现 我 们 的 要 求 ， 按 照 某 些 既 定 的 条 件 ， 排 除 不 符合 的 数据 ， 只 留 下 我 们 需要 的 数据 ， 
就 是 过 滤 的 意义 所 在 。 

过 滤 技 术 说 大 不 大 ， 说 小 也 不 小 ， 它 已 经 应 用 在 了 我 们 计算 机 的 方方面面 ， 例 如 : 

@ 当 你 需要 从 一 段 长 文本 中 查找 特定 内 容 时 ， 使 用 到 的 “查找 ”功能 。 

@ 当 你 从 百度 上 查找 你 想 知道 的 信息 时 ， 百 度 从 无 数 的 信息 中 过 滤 掉 了 你 不 需要 的 

内 容 ， 将 你 需要 的 内 容 反 馈 回 来 。 

@ 当 你 在 美化 照片 的 时 候 使 用 到 各 种 滤 镜 功能 时 ， 将 特定 的 照片 数据 覆盖 。 

ee 当 你 看 电影 时 ， 通 过 调节 声 道 ， 屏 蔽 了 相关 声 道 的 声音 。 

为 了 使 读者 更 清晰 地 了 解 过 滤 的 内 涵 ， 下 面 以 编程 的 方式 ， 通 过 一 个 小 程序 ， 来 说 明 
过 滤 在 计算 机 中 的 简单 应 用 。 

去 掉 C 程序 中 注释 的 小 程序 


程序 要 实现 的 功能 为 : 将 D 盘 根 目录 下 的 clearl.c 文件 中 的 注释 去 掉 ， 并 且 在 同 目录 
下 生成 新 的 clear2.c 文件 ，clearl.c 其 实 就 是 我 们 这 个 程序 复制 后 形成 的 副本 。 

clear.c 程序 代码 如 下 : 

#include <stdlib.h> 


#include <stdio.h> 
#define SIZE 100 


算 main() 

机 { 

网 FILE *sptr=NULL, *dptr=NULL; 

络 char a by Cy 

交 char s[SIZE]; 

基 if((sptr=fopen("D:\\cleoarl.c", ne == NODD) 7: // 目 标 文件 
而 printf ("Sourcefile could not be opened\n"); 


else if((dptr=fopen("D:\\clear2.c","w")) == NULL) // 生 成 文件 
printf ("Destfile could not be opened\n"); 


else 
{ 
fscanf (sptr,"%c", &a) ; // 从 文件 中 读 取 第 一 个 字符 


while(!feof(sptr)) // 读 到 文件 结束 标志 便 结束 循环 


t 
if(a =='/') // 过 到 '/'; 
{ 
fscanf (sptr,，"%c"，&b); // 读 取 '/' 的 后 一 字符 
if(b = '/') /* 对 情况 '//' 的 处 理 */ 
{ 
fgets(s, SIZE, sptr); // 一 直 读 到 回 车 结束 
fprintf (dptr,，"%c",，'\n'); // 补 充 打 印 读 到 的 回 车 
} 
else if(b == "'*') // 对 情况 '/*' 的 处 理 
{ 
fscanf (Sptr; "Se" &c)s 
fscanf (sptr, "ce"; Ed)s 
while(! (c=='*' && d=='/')) // 读 到 '*/' 则 结束 循环 
{ 
C= 
fscanf (sptr;, "%c", &d)s 
} 
} 
else // 读 取 的 '/' 是 有 效 字符 
{ 
fprintf{dptr, “Sc”, ajs 
fprintf (dptr, "$%c", b)s 
fscanf (sptr,，"%c"，&a); // 从 文件 中 读 取 下 一 字符 
} 
} 
else // 没 有 读 到 '/' 
printf (dtr; "Ye", a 
fscanf (sptr, "sg%c", &a); // 从 文件 中 读 取 下 一 字符 
} 


} 
printf ("Done!\n™); 
fclose (sptr); 
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fclose (dptr) ; // 关 闭 文件 
system("pause"); 


return 0; 


} 
我 们 都 知道 ，C 语 人 “1/” 或 者 “/*” 开始 的 ， 程序 通过 循环 查找 这 
两 个 特殊 的 标记 来 查找 注释 ， 这 这 其 实 就 是 一 个 简单 的 过 滤 规 则 ， 这 个 程序 的 过 滤 规 则 就 是 


过 滤 这 两 种 特殊 标记 后 一 定 范围 内 的 内 容 。 
程序 运行 后 ， 结 果 如 图 14-1 所 示 。 


iestVpehmevclear- ere 


14-1 程序 运行 结果 
生成 的 clear2.c 已 经 不 包含 任何 注释 内 容 了 。 
在 这 个 例子 中 ，C 程序 源 文件 中 的 注释 内 容 就 是 我 们 的 目的 所 在 ， 我 们 通过 一 个 小 程 
， 有 目的 地 去 掉 了 程序 中 的 注释 。 


14.6 网络 内 容 过 滤 技 术 


网 络 内 容 过 滤 技 术 采 取 适 当 的 技术 措施 ， 对 互联 网 不 良 信息 进行 过 滤 ， 既 可 阻止 不 良 
信息 对 人 们 的 侵害 ， 适 应 社会 对 意识 形态 方面 的 要 求 ， 同 时 ， 又 能 通过 规范 用 户 的 上 网 行 
为 ， 提 高 工作 效率 ， 合 理 利 用 网 络 资源 ， 减 少 病毒 对 网 络 的 侵害 ， 这 就 是 内 容 过 滤 技 术 的 
根本 内 涵 。 下 面 介绍 几 种 过 滤 技 术 的 应 用 。 


14.6.1 JS 脚本 过 滤 中 文 /全 角 字符 


相信 很 多 人 都 有 这 样 的 经 历 ， 在 某 个 网 站 注册 会 员 时 ， 网 站 不 允许 使 用 中 文 作为 会 员 
名 注册 ， 这 其 实 就 是 一 个 很 简单 的 网 页 内 容 过 滤 ， 网 页 设计 者 通过 一 些 脚本 函数 ， 判 别 输 
入 的 内 容 ， 并 根据 需要 进行 相应 的 过 滤 。 下 面 提供 一 个 JavaScript 过 滤 中 文 的 例子 。 

JavaScript 是 网 页 制作 中 一 种 常用 的 脚本 语言 ， 一 般 可 以 嵌入 到 各 种 网 页 开发 语言 
下 面 的 例子 中 生成 的 文件 为 chinese html。 

它 包 含 一 个 很 简单 的 输入 框 ， 该 输入 框 输入 非 中 文字 符 时 没有 任何 异常 ， 运 行 结 果 如 
图 14-2 所 示 。 而 一 旦 输入 中 文 /全 角 字 符 ， 网 页 会 自动 弹出 对 话 框 ， 提 示 不 允许 输入 ， 弹 出 
的 对 话 框 如 图 14-3 所 示 。 


LE 


ie 


PF 


/5 js 禁止 输入 中 文 - Hicrosoft Internet Ezp--- 攻关 | 属 | 
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图 14-2 程序 运行 界面 图 14-3 ”弹出 禁止 对 话 框 
整个 HTML 文件 的 代码 如 下 : 
<html> 
<head> 


<meta http-equiv="content-type" content="text/html; charset=gb2312" /> 
<title>js 禁止 输入 中 文 </title> 
<script> 
function check() { 
for(i=0; i<document .getElementsByName ("txt") [0] .value.length; i++) { 
Var c = document .getElementsByName ("txt") [0] .value.substr (i,1); 


var ts = escape(c); // 使 用 escape 函数 进行 编码 
if(ts.substring(0,2) == "%u") { // 中 文 编码 以 su 开始 
document .getElementsByName ("txt") [0] .value = " "7 


alert ("这 里 不 能 输入 中 文 /全 角 字 符 ") ; 


} 
} 
</script> 
<table align="center"> 
不 能 输入 中 文 : 
<input type="text" name="txt" onKeyup="check()" onblur="check();"> 
</body> 
</html> 


程序 对 输入 的 字符 使 用 escape 编码 ， 并 对 编码 后 的 内 容 进行 匹配 ,一 旦 出 现 “%u” 形 
式 的 编码 ， 即 判定 为 输入 了 中 文 /全 角 字 符 ， 这 样 ， 就 会 弹出 对 话 框 进行 提示 。 


14.6.2 脚本 防 注入 代码 


SQL 注入 漏洞 是 常见 的 Web 安全 漏洞 之 一 。 所 谓 SQL 注入 ， 就 是 通过 把 SQL 命令 插 
入 到 Web 表单 递交 ， 或 输入 域名 、 页 面 请 求 的 查询 字符 串 ， 最 终 达 到 欺骗 服务 器 ， 执 行 恶 
意 SQL 命令 的 目的 。 比 如 先前 的 很 多 影视 网 站 泄露 了 VIP 会 员 密码 ， 大 多 就 是 通过 Web 
表单 递交 查询 字符 暴 出 的 ， 这 类 表单 特别 容易 受到 SQL 注入 式 攻 击 。 

对 于 SQL 注入 的 防范 ， 一 般 只 要 在 输入 的 内 容 构造 SQL 命令 前 ， 把 所 有 输入 内 容 过 
滤 一 番 就 可 以 了 ， 实 现 这 样 的 功能 的 代码 ， 就 被 称 为 防 注入 代码 。 防 止 SQL 注入 是 网 络 内 


EN 
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容 过 滤 的 一 个 基础 应 用 ， 过 滤 输 入 内 容 可 以 按 多 种 方式 进行 。 

对 于 动态 构造 SQL 查询 的 场合 ， 可 以 使 用 下 面 的 技术 。 

(1) 蔡 换 单 引号 ， 即 把 所 有 单独 出 现 的 单 引 号 改 成 两 个 单 引号 ， 防 止 攻击 者 修改 SQL 
命令 的 含义 。 再 来 看 一 个 例子 ，“SELECT * from Users WHERE login = " or "1"="1' AND 
password = " or "1"="1'” 显 然 会 得 到 与 “SELECT * from Users WHERE login = " or '1='1' 
AND password ="or'1='1'” 不 同 的 结果 。 

(2) 删除 用 户 输入 内 容 中 的 所 有 连 字 符 , 防止 攻击 者 构造 出 类 如 “SELECT * from Users 
WHERE login = mas' -- AND password ="” 之 类 的 查询 ， 因 为 这 类 查询 的 后 半 部 分 已 经 被 注 
释 掉 ,不 再 有 效 ， 攻击 者 只 要 知道 一 个 合法 的 用 户 登录 名 称 ， 根 本 不 需要 知道 用 户 的 密码 ， 
就 可 以 顺利 获得 访问 权限 。 

(3) 对 于 用 来 执行 查询 的 数据 库 账户 ， 限 制 其 权限 。 用 不 同 的 用 户 账户 执行 查询 、 插 
入 、 更 新 、 删 除 操作 。 由 于 隔离 了 不 同 账 户 可 执行 的 操作 ， 因 而 ， 也 就 防止 了 原本 用 于 执 
行 SELECT 命令 的 地 方 被 用 于 执行 INSERT、UPDATE 或 DELETE 命令 。 

(4) 用 存储 过 程 来 执行 所 有 的 查询 。SQL 参数 的 传递 方式 将 防止 攻击 者 利用 单 引 号 和 
连 字 符 实施 攻击 。 此 外 ， 还 使 得 数据 库 权限 可 以 限制 到 只 允许 特定 的 存储 过 程 执 行 ， 所 有 
的 用 户 输入 必须 遵从 被 调用 的 存储 过 程 的 安全 上 下 文 ， 这样， 就 很 难 再 发 生 注入 式 攻 击 了 。 

(5) 限制 表单 或 查询 字符 串 输入 的 长 度 。 如 果 用 户 的 登录 名 字 最 多 只 有 10 个 字符 , 那 
么 ,不 要 认可 表单 中 输入 的 10 个 以 上 的 字符 。 这 将 大 大 增加 攻击 者 在 SQL 命令 中 插入 有 
害 代码 的 难度 。 

(6) 检查 用 户 输入 的 合法 性 ， 确 信和 输入 的 内 容 只 包含 合法 的 数据 。 数 据 检查 应 当 在 客 
户 端 和 服务 器 端 都 执行 ， 之 所 以 要 执行 服务 器 端 验证 ， 是 为 了 弥补 客户 端 验证 机 制 脆 弱 的 
安全 性 。 

(7) 在 客户 端 ， 攻 击 者 完全 有 可 能 获得 网 页 的 源 代 码 ， 修 改 验证 合法 性 的 脚本 (或 者 直 
接 删 除 脚本 )， 然 后 将 非法 内 容 通过 修改 后 的 表单 提交 给 服务 器 。 因 此 ， 要 保证 验证 操作 确 
实 已 经 执行 ， 唯 一 的 办 法 ， 就 是 在 服务 器 端 也 执行 验证 。 你 可 以 使 用 许多 内 建 的 验证 对 象 ， 
例如 RegularExpressionValidator， 它 们 能 够 自动 生成 验证 用 的 客户 端 脚 本 ， 当 然 ， 你 也 可 以 
用 插入 服务 器 端的 方法 调用 。 如 果 找 不 到 现成 的 验证 对 象 ， 可 以 通过 CustomValidator 自己 
创建 一 个 。 

(8) 将 用 户 登 录 名 称 、 密 码 等 数据 加 密 保存 。 加 密 用 户 输入 的 数据 ， 然 后 再 将 它 与 数 
据 库 中 保存 的 数据 进行 比较 ， 这 相当 于 对 用 户 输入 的 数据 进行 了 “消毒 ”处 理 ， 用 户 输入 
的 数据 不 再 对 数据 库 有 任何 特殊 的 意义 ， 从 而 也 就 防止 了 攻击 者 注入 SQL 命令 。 

System.Web.Security.FormsAuthentication 类 有 个 HashPasswordForStoringInConfigFile， 
非常 适合 于 对 输入 数据 进行 消毒 处 理 。 

(9) 检查 提取 数据 的 查询 所 返回 的 记录 数量 。 如 果 程 序 只 要 求 返回 一 个 记录 ， 但 实际 
返回 的 记录 却 超过 一 行 ， 那 就 当 作出 错 处 理 。 

同一 个 网 页 地 址 http://localhost/cms/detaill.asp?id=25°，, 在 没 加 入 防 注入 代码 时 ， 查 看 
页 面 时 的 显示 如 图 14-4 所 示 。 程 序 确实 出 现 了 错误 ， 这 样 就 是 一 个 经 典 的 SQL 注入 漏洞 。 
之 后 ， 我 们 在 同一 个 程序 中 加 入 了 防 注入 代码 ， 再 次 查看 页 面 ， 显 示 如 图 14-5 所 示 。 


Microsoft JET Database Engine 错误 '80040e14 


字符 串 的 语法 错误 在 查询 表达 式 “CMS_ID=25" 中 。 


lcms/detaill.asp; 行 12 


图 14-4 ”注入 使 程序 出 现 错误 图 14-5 程序 检测 到 敏感 字符 并 给 出 提示 
下 面 给 出 一 个 通用 版 本 的 ASP 程序 防 注入 代码 作为 参考 : 


Dim GetFlag Rem /* 提 交 方 式 */ 
Dim ErrorSql Rem (非法 字符 ) 

Dim RequestKey Rem (提交 数据 ) 
Dim ForI Rem (循环 标记 ) 


ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master 
~truncate~char~declare" (每 个 敏感 字符 或 者 词语 请 使 用 半角 “~” 隔 开 ) 
ErrorSql = split (ErrorSql，"~") (将 敏感 字符 逐一 存 入 一 个 数组 中 ) 


/* 判 断 提交 方式 */ 

If Request.ServerVariables ("REQUEST METHOD")="GET" Then /* 如 果 是 GET*/ 
GetFlag = True 

Else 
GetFlag = False 

End If 


/* 通 过 循环 ， 判 断 提交 的 数据 中 是 否 有 敏感 字符 或 者 词语 */ 
If GetFlag Then 
For Each RequestKey In Request.QueryString 
For ForI=0 To Ubound (ErrorSql) 
If Instr (LCase (Request .QueryString (RequestKey) ) ， 
ErrorSql (ForI) ) <>0 Then 
response.write "<script>alert( 
"" 警 告 : \n 请 不 要 使 用 敏感 字符 "") ; 
location.href=""Sql .asp"";</script>" 
Response.End /* 如 果 有 敏感 字符 或 者 词语 ， 弹 出 警告 并 跳 转 */ 
End If 
Next 
Next 
Else 
For Each RequestKey In Request.Form 
For ForI=0 To Ubound (ErrorSdql) 
IE Instr(LCase (Request.Form(RequestKey)),ErrorSsql (ForI) ) <>0 
Then 
Tesponse -write "<script>alert( 
"" 警 告 : \n 请 不 要 使 用 敏感 字符 ""); 
location.href=""Sql .asp"";</script>" 
Response.End 
End If 
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Next 
Next 
End If 


14.6.3 ”防火 墙 的 包 过 滤 


包 过 滤 防 火 墙 用 一 个 软件 查看 所 流 经 的 数据 包 的 包头 (Header)， 由 此 决定 整个 包 的 命 
运 。 它 可 能 会 决定 丢弃 (Drop) 这 个 包 ， 可 能 会 接受 (Accept) 这 个 包 (让 这 个 包 通 过 )， 也 可 能 
执行 其 他 更 复杂 的 动作 。 

数据 包 过 滤 用 在 内 部 主机 和 外 部 主机 之 间 ， 过 滤 系 统 是 一 台 路 由 器 或 是 一 台 主 机 。 过 
滤 系 统 根据 过 滤 规 则 ， 来 决定 是 否 让 数据 包 通过 。 用 于 过 滤 数 据 包 的 路 由 器 被 称 为 过 滤 
路 由 器 。 

数据 包 过 滤 是 通过 对 数据 包 的 了 头 和 TCP 头 或 UDP 头 的 检查 来 实现 的 ,主要 信息 有 : 

@ IP 源 地 址 。 

卫 目标 地 址 。 

协议 (TCP 包 、UDP 包 和 ICMP 包 )。 
TCP 或 UDP 包 的 源 端口 。 

TCP 或 UDP 包 的 目标 端口 。 

ICMP 消息 类 型 。 

TCP 包 头 中 的 ACK 位 。 
数据 包 到 达 的 端口 。 

e@ 数据 包 出 去 的 端口 。 

在 TCP/IP 中 ,存在 着 一 些 标准 的 服务 端口 号 , 例如 ，HTTP 的 端口 号 为 80。 通 过 屏蔽 
特定 的 端口 ， 可 以 禁止 特定 的 服务 。 包 过 滤 系 统 可 以 阻塞 内 部 主机 和 外 部 主机 或 另外 一 个 
网 络 之 间 的 连接 ， 例 如 ， 可 以 阻塞 一 些 被 视 为 是 有 敌意 的 或 不 可 信 的 主机 或 网 络 连接 到 内 
部 网 络 中 。 

包 过 滤 防 火 墙 主 要 通过 过 滤 策 略 来 进行 设置 ， 过 滤 策 略 包括 : 

@ ”拒绝 来 自 某 主机 或 某 网 段 的 所 有 连接 。 
允许 来 自 某 主 机 或 某 网 段 的 所 有 连接 。 
拒绝 来 自 某 主机 或 某 网 段 的 指定 端口 的 连接 。 
允许 来 自 某 主机 或 某 网 段 的 指定 端口 的 连接 。 
拒绝 本 地 主机 或 本 地 网 络 与 其 他 主机 或 其 他 网 络 的 所 有 连接 。 
允许 本 地 主机 或 本 地 网 络 与 其 他 主机 或 其 他 网 络 的 所 有 连接 。 
拒绝 本 地 主机 或 本 地 网 络 与 其 他 主机 或 其 他 网 络 的 指定 端口 的 连接 。 
允许 本 地 主机 或 本 地 网 络 与 其 他 主机 或 其 他 网 络 的 指定 端口 的 连接 。 

数据 包 过 滤 防 火 墙 的 主要 过 滤 过 程 如 下 。 

(1) 包 过 滤 规 则 必须 被 包 过 滤 设 备 端口 存储 起 来 。 

(2) 当 包 到 达 端 口 时 ， 对 包 报 头 进行 语法 分 析 。 大 多 数 包 过 滤 设 备 只 检查 了 了 、TCP 或 
UDP 报头 中 的 字段 。 

(3) 包 过 滤 规 则 以 特殊 的 方式 存储 。 应 用 于 包 的 规则 的 顺序 与 包 过 滤器 规则 的 存储 顺 


算 | 序 必 须 相 同 。 

| (4) 车 一 条 规则 阻止 包 传输 或 接收 ， 则 此 包 便 不 被 允许 。 

络 (5) 若 一 条 规则 允许 包 传输 或 接收 ， 则 此 包 便 可 以 被 继续 处 理 。 
交 (6) 若 包 不 满足 任何 一 条 规则 ， 则 此 包 便 被 阻塞 。 
基 


14.6.4 WinRoute Pro 4.4.5 的 安装 和 使 用 


读者 可 以 安装 WinRoute 来 实现 软件 防火 墙 的 功能 ， 从 而 对 包 过 滤 防 火 墙 有 更 深 的 体会 。 
软件 下 载 链接 : http://www.onlinedown.net/soft/2795.htm。 

(1) WinRoute Pro 4.4.5 使 用 简介 

WinRoute 的 界面 如 图 14-6 所 示 ，WinRoute 使 用 的 简单 配置 如 图 14-7 所 示 。 


14-6 ”WinRoute 的 界面 


~ pr | 
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14-7 ”WinRoute 使 用 的 简单 配置 
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(2) 利用 WinRoute 创建 包 过 滤 规 则 
创建 的 规则 内 容 是 : 防止 主机 被 别 的 计算 机 使 用 Ping 指令 探测 。 从 菜单 栏 中 选择 
Settingsi 一 Advanced 一 Packet Filter 命令 ， 如 图 14-8 所 示 。 


14-8 WinRoute 的 相关 选项 
在 包 过 滤 对 话 框 中 ， 可 以 看 出 目前 主机 还 没有 任何 包 规则 ， 如 图 14-9 所 示 。 


取消 丘 用 克 ] 


14-9 配置 包 过 滤 规则 


选中 图 14-9 中 的 网 卡 图 标 ， 单 击 “ 添 加 ”按钮 。 出 现 过 滤 规 则 添加 对 话 框 ， 所 有 的 过 
滤 规 则 都 在 此 处 添加 ， 如 图 14-10 所 示 。 


FPacket Deseription- 


Action- Log Packet Valid at- 
他 Farmit 1 
Cieiatof rr | 
i Ce | CT 


can 
图 14-10 ”添加 过 滤 规 则 


因为 Ping 指令 用 的 协议 是 ICMP， 所 以 ， 这 里 要 对 ICMP 协议 设置 过 滤 规 则 。 在 协议 
下 拉 列 表 中 选择 ICMP， 如 图 14-11 所 示 。 


A 


2 人 


14-11 选择 协议 


在 ICMP Types 栏目 中 ， 将 复 选 框 全 部 选中 ， 在 Action 栏目 中 ， 选 择 Drop 单 选 按钮 ， 
在 Log Packet 栏目 中 ， 选 中 Log into window， 创 建 完毕 后 ， 点 击 OK 按钮 ， 一 条 规则 就 创 
建 完 毕 ， 如 图 14-12 所 示 。 


14-12 ”修改 其 他 选项 
为 了 使 设置 的 规则 生效 ， 我 们 要 单 击 “ 应 用 ”按钮 ， 如 图 14-13 所 示 。 


图 14-13 ”应 用 新 添加 的 过 小 规则 
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设置 完毕 , 该 主机 就 不 再 响应 外 界 的 ping 指令 了 ,使 用 指令 ping 来 探测 主机 ， 将 收 不 
到 回应 ， 如 图 14-14 所 示 。 


:Wping 172.18.25.199 


pinging 172.18 25.189 with 32 bytes of data: 


Request tined out. 
Request tined out. 


Request tined out. 
Request tined out. 


re er ed 
Sont = 4, Received = 0, Lost = 4 (100% lose]， 
ee trip tines in milli-seconds: 
ee Ruerage = ne 


14-14 ”使 用 ping 命令 测试 


虽然 主机 没有 响应 ， 但 是 ， 已 经 将 事件 记录 到 安全 日 志 了 。 选 择 View 一 Logs 一 
Security Logs 菜单 命令 ， 察 看 日 志 记 录 ， 如 图 14-15 所 示 。 


14-15 ”软件 的 安全 日 志 
(3) 应 用 层 防火 墙 配置 示例 
用 WinRoute 禁用 HTTP 访问 ，HTTP 服务 用 TCP 协议 ， 占 用 TCP 协议 的 80 端口 ， 主 
机 的 瑟 地 址 是 172.18.25.109。 首 先 创建 规则 ， 如 图 14-16 所 示 。 


14-16 ”创建 规则 示例 


算 打开 本 地 的 瑟 ， 连 接 远 程 主机 的 HITP 服务 ， 将 遭 到 拒绝 ， 如 图 14-17 所 示 。 


络 + + -回国 人 | WR 佬 WW | 避 -名 可 -回扣 加 

女 SE(D) [€] ntp:i7z.18.25.l09/ 了 |] PS 到 | 链接 
全 

[到 该 下 无 法 示 

Li 


您 要 查看 的 页 当前 不 可 用 。 网 站 可 能 过 到 技术 问题 ， 或 者 您 需要 调整 浏览 
器 设置 。 


请 尝试 以 下 操作 


图 14-17 ”连接 远程 主机 HTTP 服务 被 拒 
(4) 配置 防火 墙 
配置 网 络 层 防火 墙 过 滤 ICMP、HTTP 并 验证 。 首 先 还 是 添加 过 滤 规 则 ,如 图 14-18 所 示 。 


Packet Deseription 
Erotocalfrr 可 
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Aetion Log Packet- Valid at 
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Po | | Fe inate yindo 


Ce ewe | 
图 14-18 ”添加 过 小 规则 
设置 过 滤 卫 、ICMP 包 ， 如 图 14-19 所 示 。 


Ineoning |0uteoinel 


SB uarvell Tukon 88E8057 PCI-E Gigabit Ethernet Contro] 
© 


Adapter for Vanetl 
rtual Ethernet Adapter for VanetB 
dapter 

四 ? Any interface 


到 
加 


加 = 加 
Ht | iem 
确定 职 消 应 用 的 


图 14-19 ”设置 过 小 规则 


第 14 章 “病毒 与 内 容 过 波 @@ 


测试 中 发 现 ，ping 命令 已 经 无 法 使 用 。 测 试 结果 如 图 14-20 所 示 。 


:\Docunents and Settings\Adni! ator ping wwu.baidu.con 


Ping request could not find host www.baidu.con. Please check the nane and try al 
in- 


和 14-20 ”ping 命令 的 返回 结果 
同样 ，HTTP 访问 不 正常 ， 结 果 如 图 14-21 所 示 。 


i t Internet Explorer ”区 ) 


图 14-21 HTTP 访问 结果 


过 滤 应 用 层 协议 包 ， 包 括 FTP(21)、HTTP(80)、TELNET(23)、SMTP(25) 等 。 如 果 做 了 
相应 的 配置 (如 图 14-22 所 示 )， 将 产生 如 图 14-23 所 示 的 结果 。 


Ineoming Dutgoing 


SB marvell Taken 88E8057 PCI-E Gigabit Ethernet Contro] 
© TCF hny host all ports = 
© TCF hny host all ports = 


HD Yavare Virtual Ethernet Adapter for Ylnet8 他 


HS Dial in adapter 

四 名 linel - 

日 全 hny interface 
交 me rale 


ne \Adninis trator 让 219- 37.47-194 


(a) Telnet 连接 结果 


C:\Documents and ttin administrator>ftp 2109.37.47.194 


> ftp: connect : 


(b) FTP 连接 结果 


图 14-23 产生 的 结果 


14.6.5 ”杀毒 软件 的 查 杀 原 理 


杀毒 软件 本 质 上 就 是 一 个 信息 分 析 的 系统 ， 它 监控 所 有 的 数据 流动 ， 当 它 发 现 某 些 信 
息 被 感染 后 ， 就 会 清除 其 中 的 病毒 。 通 常 ， 检 测 病毒 的 方法 有 : 特征 码 法 、 校 验 和 法 、 行 
为 检测 法 、 软 件 模拟 法 。 这 些 方 法 依据 原理 的 不 同 ， 实 现时 ， 所 需 开 销 不 同 ， 检 测 范围 不 


A 


1 


PF 


算 | 同 ， 各 有 所 长 。 

机 其 中 ， 校 验 和 法 、 特 征 码 法 就 属于 过 滤 技 术 的 应 用 。 

电 (1) 特征 码 法 

安 特征 码 法 早期 被 应 用 于 SCAN、CPAV 等 著名 病毒 检测 工具 中 。 国 外 专家 认为 特征 码 
全 法 是 检测 已 知 病毒 的 最 简单 、 开 销 最 小 的 方法 。 

础 特征 码 法 实现 的 步骤 如 下 。 


抽取 的 代码 比较 特殊 ， 不 大 可 能 与 普通 正常 程序 代码 吻合 。 抽 取 的 代码 要 适当 长 度 ， 
一 方面 维持 特征 码 的 唯一 性 ， 另 一 方面 ， 又 不 要 有 太 大 的 空间 与 时 间 的 开销 。 如 果 一 种 病 
毒 的 特征 码 增强 一 字 节 ， 要 检测 3000 种 病毒 ， 增 加 的 空间 就 是 3000 字 节 。 在 保持 唯一 性 
的 前 提 下 ， 应 尽量 使 特征 码 长 度 短 些 。 
杀毒 软件 在 扫描 文件 的 时 候 ， 在 文件 中 搜索 是 否 含有 病毒 数据 库 中 的 病毒 特征 码 。 如 
果 发 现 病 毒 特征 码 ， 由 于 特征 码 与 病毒 一 一 对 应 ， 便 可 以 断定 为 病毒 。 这 里 的 特征 码 ， 分 
为 两 个 部 分 ， 第 一 部 分 是 特征 码 的 位 置 ， 第 二 部 分 是 狭义 上 的 特征 码 。 
杀毒 软件 运用 特征 码 扫描 并 确定 某 文件 为 病毒 时 ， 这 个 文件 需要 满足 以 下 两 个 条 件 : 
e@ 该 文件 中 的 某 一 位 置 与 杀毒 软件 病毒 库 的 某 一 位 置 相 对 应 。 
e@ ”该 位 置 上 存放 的 代码 与 病毒 库 中 定义 的 该 位 置 上 的 代码 相同 。 
特征 码 法 的 优点 ， 是 检测 准确 快速 、 可 识别 病毒 的 名 称 、 误 报 率 低 、 依 据 检测 结果 可 
做 解毒 处 理 。 缺 点 是 不 能 检测 未 知 病毒 、 搜 集 已 知 病毒 的 特征 码 ， 费 用 开销 大 、 在 网 络 上 
效率 低 (在 网 络 服务 器 上 ， 因 长 时 间 检 索 ， 会 使 整个 网 络 性 能 变 坏 )。 
特征 码 分 为 文件 特征 码 和 内 存 特 征 码 两 种 。 内 存 特 征 码 是 程序 载 入 内 存 之 后 所 具有 的 
特征 码 ， 在 非 运行 状态 下 是 不 可 发 觉 的。 
(2) 校 验 和 法 
运用 校 验 和 法 查 病毒 可 采用 以 下 三 种 方式 : 
e ”在 检测 病毒 工具 中 纳入 校 验 和 法 ， 对 被 查 的 对 象 文件 计算 正常 状态 的 校 验 和 ， 将 
校 验 和 值 写 入 被 查 文件 中 或 检测 工具 中 ， 而 后 进行 比较 。 
e ”在 应 用 程序 中 ， 放 入 校 验 和 法 自我 检查 功能 ， 将 文件 正常 状态 的 校 验 和 写 入 文件 
本 身 中 ， 每 当 应 用 程序 启动 时 ， 比 较 现 行 校 验 和 与 原 校 验 和 的 值 ， 实 现 应 用 程序 
的 自 检测 。 
@ 将校 验 和 检查 程序 常 驻 内 存 ， 每 当 应 用 程序 开始 运行 时 ， 自 动 比较 检查 应 用 程序 
内 部 或 别 的 文件 中 预先 保存 的 校 验 和 。 
校 验 和 法 的 优 缺点 如 下 。 
@ ”优点 : 方法 简单 、 能 发 现 未 知 病毒 、 被 查 文件 的 细微 变化 也 能 发 现 。 
@ ”缺点 : 会 误 报警 、 不 能 识别 病毒 名 称 、 不 能 对 付 隐 蔽 型 病毒 等 。 


1. 简 述 计算 机 病毒 的 概念 。 
2. 简 述 计算 机 病毒 的 分 类 。 
3. 举例 说 明 计算 机 病毒 可 能 造成 的 危害 。 
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. 详细 说 明 如 何 防 范 计算 机 病毒 。 

. 简 述 包 过 小 型 防火 墙 的 概念 、 优 缺点 和 应 用 场合 。 
. 简 述 好 的 防火 墙 具 有 的 特性 。 

. 防火 墙 有 几 类 ? 简 述 分 组 过 滤 防 火 墙 。 

. 简 述 杀毒 软件 的 查 杀 原 理 。 

. 下 载 安 装 WinRoute 软件 ， 试 用 其 中 的 功能 。 


参 考 资 料 
[1] http://baike.baidu.com/link?url=nmEl8-bY4 JX4S4dzHdL2QyweNINTnolSsSUK7j6F 


gnIK-391PLs2wqDjtL9LZyH#7 
[2] http://www.is.pku.edu.cn/~qzy/intro/virus3.htm 
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15.1 协议 的 概述 


协议 二 字 ， 在 法 律 范畴 是 指 两 个 或 两 个 以 上 实体 为 了 开展 某 项 活动 ， 经 过 协商 后 ， 双 
方 达成 的 一 致意 见 。 可 以 认为 是 多 个 实体 共同 认可 的 一 种 规范 。 

协议 在 生活 中 处 处 可 见 。 

(1) 各 国人 见面 的 礼仪 : 

@ ”中 国人 的 见面 礼节 一 般 都 是 抱 拳 、 握 手 。 

e@ ”美国 人 的 见面 礼节 一 般 是 握手 ， 好 朋友 以 上 的 是 拥抱 。 

ee 拉丁 人 见面 的 礼节 男人 之 间 是 握手 ， 男 女 之 间 是 男性 亲吻 女性 右 侧 脸颊 。 

@。 意大利 人 的 见面 礼节 是 男女 都 要 亲吻 脸颊 。 

(2) 图 书馆 借 书 的 流程 是 (必须 在 图 书馆 办 理会 员 ): 电子 数据 库 查询 ， 在 查询 到 的 位 
置 搜索 书籍 ， 通 过 身份 验证 ;成 功 借 书 。 

现代 的 图 书馆 ， 大 都 遵循 这 样 的 或 是 类 似 的 借 书 流程 ， 这 样 的 流程 是 图 书馆 与 读者 间 
约定 而 成 的 一 个 规则 。 

各 国人 见面 的 礼仪 各 不 相同 ， 但 却 都 按 着 各 自 约定 俗 成 的 方式 进行 ， 各 个 图 书馆 大 小 
虽然 各 不 相同 ， 但 借 书 的 大 致 流程 却 都 是 类 似 的 。 这 些 都 是 协议 的 体现 。 双 方 或 者 多 方 之 
间 都 遵循 同样 的 规则 。 人 与 人 之 间 ， 图 书馆 与 读者 之 间 ， 都 遵照 相应 的 协议 来 进行 交流 活 
动 。 另 外 还 有 ， 例 如 和 人 多 的 时 候 ， 为 了 保持 秩序 ， 大 家 都 自觉 排队 ， 尊 老 爱 幼 ， 各 种 比赛 
有 比赛 的 规则 等 ， 这 些 都 是 协议 在 现实 生活 中 的 体现 。 


15.2 安全 协议 


在 计算 机 环境 中 也 存在 许多 协议 ， 其 中 也 有 很 多 是 安全 协议 。 安 全 协议 ， 有 时 也 称 作 
密码 协议 , 是 以 密码 学 为 基础 的 消息 交换 协议 , 其 目的 是 在 网 络 环境 中 提供 各 种 安全 服务 。 
密码 学 是 网 络 安全 的 基础 ， 但 网 络 安全 不 能 单纯 依靠 安全 的 密码 算法 。 安 全 协议 是 网 络 安 
全 的 一 个 重要 组 成 部 分 ， 我们 需要 通过 安全 协议 进行 实体 之 间 的 认证 、 在 实体 之 间 安 全 地 
分 配 密 钥 或 其 他 各 种 秘密 、 确 认 发 送 和 接收 的 消息 的 非 否 认 性 等 。 

安全 协议 是 建立 在 密码 体制 基础 上 的 一 种 交互 通信 协议 ， 它 运用 密码 算法 和 协议 逻辑 
来 实现 认证 和 密 钥 分 配 等 目标 。 

早期 的 Intemet 是 建立 在 可 信用 户 基 础 上 的 ， 随 着 Internet 的 发 展 ， 电 子 商务 已 经 逐渐 
成 为 人 们 进行 商务 活动 的 新 模式 。 越 来 越 多 的 人 通过 Internet 进行 商务 活动 。 电 子 商 务 的 发 
展 前 景 十 分 诱 人 ， 而 其 安全 问题 也 变 得 越 来 越 突 出 ， 如 何 建 立 一 个 安全 、 便 捷 的 电子 商务 
应 用 环境 ， 对 信息 提供 足够 的 保护 ， 已 经 成 为 商家 和 用 户 都 十 分 关心 的 话题 。 
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15.2.1 安全 协议 概述 

安全 协议 ， 本 质 上 是 关于 某 种 应 用 的 一 系列 规定 ， 包 括 功 能 、 参 数 、 格 式 、 模 式 等 ， 
通信 各 方 只 有 共同 遵守 协议 ， 才 能 互相 操作 。 

在 信息 网 络 中 ， 可 以 在 ISO 七 层 协议 中 的 任何 一 层 采 取 安 全 措施 。 大 部 分 安全 措施 都 
采用 特定 的 协议 来 实现 ， 如 在 网 络 层 加 密 和 认证 采用 IPSec 协议 ， 在 传输 层 加 密 和 认证 采 
用 SSL 协议 等 。 如 图 15-1 所 示 是 OSI 七 层 协议 与 其 中 的 一 些 安全 协议 。 

加 密 /安全 技术 OI 协议 层 安全 协议 
代理 防火 雯 /保密 网 关 世 = < 二 一 应 用 相关 


动态 包 过 滤 防 火 墙 五 二 > < SsUTLs 


药 态 包 过 小 防 火 墙 EE < IPsec 
信道 加 窗 链 路 层 < 二 PPTP/L2TP 


15-1 OSI 七 层 协议 与 安全 协议 


15.2.2 TCP/P 协议 的 概述 


在 当代 互联 网 中 ，TCP/IP 协议 使 用 极为 广泛 ， 在 TCP/IP 协议 中 ，TCP 连接 /关闭 过 程 
是 一 个 经 典 的 例子 ， 下 面 介绍 TCP/IP 协议 的 连接 /关闭 过 程 。 

(1) 建立 连接 协议 (三 次 握手 ) 

@ 客户 端 发 送 一 个 带 SYN 标志 的 TCP 报 文 到 服务 器 ， 即 三 次 握手 过 程 中 的 报 文 1。 

@ 服务 器 端 回应 客户 端 , 这 是 三 次 握手 中 的 第 2 个 报 文 , 这 个 报 文 同时 带 ACK 标志 
和 SYN 标志。 因此， 它 表示 对 刚才 客户 端 SYN 报 文 的 回应 ;同时 又 标志 SYN 给 客户 端 ， 
询问 客户 端 是 否 准 备 好 进行 数据 通信 。 

@@， 客户 必须 再 次 回应 服务 端 一 个 ACK 报 文 ， 这 是 报 文 段 3。 

如 图 15-2 所 示 是 TCP/IP 协议 建立 连接 的 过 程 。 


15-2 TCP 协议 建立 连接 的 过 程 


ie 


PF 


eam 
兰 惧 


(2) 连接 终止 协议 (四 次 握手 ) 

由 于 TCP 连接 是 全 双 工 的 ， 因 此 ， 每 个 方向 都 必须 单独 进行 关闭 。 原 则 是 当 一 方 完成 
它 的 数据 发 送 任务 后 ， 就 能 发 送 一 个 FIN 来 终止 这 个 方向 的 连接 。 收 到 一 个 FIN 只 意味 着 
这 一 方向 上 没有 数据 流动 ， 一 个 TCP 连接 在 收 到 一 个 FIN 后 ， 仍 能 发 送 数据 。 首 先进 行 关 
闭 的 一 方 将 执行 主动 关闭 ， 而 另 一 方 执行 被 动 关 闭 。 整 个 过 程 如 下 。 

Q@ ”TCP 客户 端 发 送 一 个 FIN， 用 来 关闭 客户 到 服务 器 的 数据 传送 ( 报 文 段 4)。 

@ ”服务 器 收 到 这 个 FIN， 它 发 回 一 个 ACK， 确 认 序 号 为 收 到 的 序号 加 1( 报 文 段 5)。 
和 SYN 一样， 一 个 FIN 将 占用 一 个 序号 。 

@) ”服务 器 关闭 客户 端的 连接 ， 发 送 一 个 FIN 给 客户 端 ( 报 文 段 6)。 

@ 客户 端 发 回 ACK 报 文 确认 ， 并 将 确认 序号 设置 为 收 到 序号 加 1( 报 文 段 7)。 

如 图 15-3 所 示 是 TCP/IP 协议 关闭 连接 的 过 程 。 


证 迪 党 慌 避 


车 


图 15-3 TCP/IP 协议 关闭 连接 的 过 程 

(3) 各 个 字段 的 含义 

Q) CLOSED: 表示 初始 状态 为 关闭 。 

@ LISTEN: 表示 服务 器 端的 某 个 Socket 处 于 监听 状态 ， 可 以 接受 连接 了 。 

@@ SYN_RCVD: 表示 接收 到 了 SYN 报 文 ， 在 正常 情况 下 ， 这 个 状态 是 服务 器 端的 
Socket 在 建立 TCP 连接 时 的 三 次 握手 会 话 过 程 中 的 一 个 中 间 状 态 , 很 短暂 ,基本 上 月 
是 很 难看 到 这 种 状态 的 ， 除 非 你 特意 写 了 一 个 客户 端 测试 程序 ， 故 意 将 三 次 TCP 握手 过 程 


日 netstat 


十 


最 后 一 个 ACK 报 文 不 予 发 送 。 因 此， 当 处 于 这 种 状态 时 ， 当 收 到 客户 端的 ACK 报 文 后 ， 
它 会 进入 到 ESTABLISHED 状态 。 

@ SYN_SENT: 这 个 状态 与 SYN_RCVD 相 呼 应 ， 当 客户 端 Socket 执行 CONNECT 
连接 时 ， 它 首先 发 送 SYN 报 文 ， 因 此 ， 也 随即 会 进入 到 SYN_SENT 状态 ， 并 等 待 服务 端 
的 发 送 三 次 握手 中 的 第 2 个 报 文 。SYN_SENT 状态 表示 客户 端 已 发 送 SYN 报 文 。 

@ 回 ESTABLISHED: 这 个 容易 理解 ， 表 示 连 接 已 经 建立 了 。 

@ FIN WAIT 1: FIN WAIT 1 和 FIN_ WAIT 2 状态 的 真正 含义 都 是 表示 等 待 对 方 
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的 FIN 报 文 。 这 两 种 状态 的 区 别 是 ,FIN_WAIT 1 状态 实际 上 是 当 Socket 在 ESTABLISHED 
状态 时 , 它 想 主 动 关闭 连接 , 向 对 方 发 送 了 FIN 报 文 ,此 时 ,该 Socket 即 进入 到 FIN_WAIT 1 
状态 ， 而 当 对 方 回应 ACK 报 文 后 ， 则 进入 到 FIN_WAIT 2 状态 ， 当 然 ， 在 实际 的 正常 情 
况 下 ， 无 论 对 方 在 何 种 情况 下 ， 都 应 该 马上 回应 ACK 报 文 ， 所 以 ，FIN_WAIT 1 状态 一 般 
是 比较 难 见 到 的 ， 而 FIN_WAIT 2 状态 有 时 常常 可 以 用 netstat 看 到 。 

@ FIN WAIT 2: 上 面 已 经 详细 解释 了 这 种 状态 ， 实 际 上 ，FIN_WAIT 2 状态 下 的 
Socket 表示 半 连 接 ， 也 即 有 一 方 要 求 close 连接 ， 但 另外 还 告诉 对 方 ， 我 暂时 还 有 点 数据 需 
要 传送 给 你 ， 稍 后 再 关闭 连接 。 

TIME_ WAIT: 表示 收 到 了 对 方 的 FIN 报 文 ， 并 发 送出 了 ACK 报 文 ， 就 等 2MSL 
后 即 可 回 到 CLOSED 可 用 状态 了 。 如 果 FIN_WAIT _1 状态 下 收 到 对 方 同 时 带 FIN 标志 和 
ACK 标志 的 报 文 ， 可 直接 进入 到 TIME WAIT 状态 ， 而 无 须 经 过 FIN_WAIT 2 状态 。 

@ CLOSING: 这 种 状态 比较 特殊 ， 实 际 情况 中 应 该 是 很 少见 的 ， 属 于 一 种 比较 罕见 
的 例外 状态 。 正 常情 况 下 ， 当 你 发 送 FIN 报 文 后 ， 按 理 来 说 ， 是 应 该 先 收 到 (或 同时 收 到 ) 
对 方 的 ACK 报 文 , 再 收 到 对 方 的 FIN 报 文 。 但 是 , CLOSING 状态 表示 你 发 送 FIN 报 文 后 ， 
并 没有 收 到 对 方 的 ACK 报 文 ， 反 而 却 收 到 了 对 方 的 FIN 报 文 。 什 么 情况 下 会 出 现 此 种 情 
况 呢 ? 其 实 ， 细 想 一 下 ， 也 不 难得 出 结论 ， 那 就 是 如 果 双 方 几乎 在 同时 close 一 个 Socket 
的 话 ， 那 么 就 会 出 现 双方 同时 发 送 FIN 报 文 的 情况 ， 也 即 会 出 现 CLOSING 状态 ， 表 示 双 
方 都 正在 关闭 Socket 连接 。 

CLOSE WAIT: 这 种 状态 的 含义 ， 其 实 是 表示 在 等 待 关闭 。 怎 么 理解 呢 ?” 当 对 方 
close 一 个 Socket 后 ， 发 送 FIN 报 文 给 自己 ， 你 的 系统 毫 无 疑问 地 会 回应 一 个 ACK 报 文 给 
对 方 ， 此 时 ， 则 进入 到 CLOSE_WAIT 状态 。 接 下 来 呢 ， 实 际 上 ， 你 真正 需要 考虑 的 事情 
是 察看 你 是 否 还 有 数据 发 送 给 对 方 ， 如 果 没 有 的 话 ， 那 么 ， 你 也 就 可 以 close 这 个 Socket， 
发 送 FIN 报 文 给 对 方 ， 也 即 关 闭 连接 。 所 以 ， 你 在 CLOSE WAIT 状态 下 ， 需 要 完成 的 事 
情 是 等 待 你 去 关闭 连接 。 

加 LAST_ACK: 这 个 状态 还 是 比较 容易 理解 的 ， 它 是 被 动 关闭 一 方 在 发 送 FIN 报 文 
后 ， 最 后 等 待 对 方 的 ACK 报 文 。 收 到 ACK 报 文 后 ， 即 可 进入 到 CLOSED 可 用 状态 了 。 


15.3 常见 的 网 络 安全 协议 


15.3.1 网 络 认 证 协议 Kerberos 


Kerberos 这 一 名 词 来 源 于 希腊 神话 “三 个 头 的 狗 一 一 地 狱 之 门 守护 者 ” 

Kerberos 是 一 种 网 络 认 证 协议 ， 其 设计 目标 ， 是 通过 密 钥 系 统 为 客户 机 /服务 器 应 用 程 
序 提 供 强 大 的 认证 服务 。 该 认证 过 程 的 实现 ， 不 依赖 于 主机 操作 系统 的 认证 ， 无 需 基 于 主 
机 地 址 的 信任 ， 不 要 求 网 络 上 所 有 主机 的 物理 安全 ， 并 假定 网 络 上 传送 的 数据 包 可 以 被 任 
意 地 读 取 、 修 改 和 插入 数据 。 在 以 上 情况 下 ，Kerberos 作为 一 种 可 信任 的 第 三 方 认证 服务 ， 
是 通过 传统 的 密码 技术 (如 共享 密 钥 ) 执 行 认证 服务 的 。 

认证 过 程 具体 如 下 : 客户 机 向 认证 服务 器 (AS) 发 送 请 求 ， 要 求 得 到 某 服务 器 的 证 书 ， 
然后 ，AS 的 响应 包含 这 些 用 客户 端 密 钥 加 密 的 证 书 。 
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机 @ ”服务 器 Ticket。 

风 |。。。。 一 个 临时 加 密 密 钥 ( 又 称 为 会 话 密 铀 ，Session Key)。 

恬 | 客户 机 将 Ticket( 包 括 用 服务 器 密 钥 加 密 的 客户 机 身份 和 一 份 会 话 密 钥 的 拷贝 /传送 到 
伟 | 服 务 器 上 。 会 话 密 钥 ( 现 已 经 由 客户 机 和 服务 器 共享 可 以 用 来 认证 客户 机 或 认证 服务 器 ， 
创 | 也 可 用 来 为 通信 双方 以 后 的 通信 提供 加 密 服务 ， 或 通过 交换 独立 子 会 话 密 钥 ， 为 通信 双方 


提供 进一步 的 通信 加 密 服务 。 

上 述 认 证 交换 过 程 需要 以 只 读 方式 访问 Kerberos 数据 库 。 但 有 时 ， 数 据 库 中 的 记录 必 
须 进 行 修改 , 如 添加 新 的 规则 , 或 改变 规则 密 钥 时 。 修 改过 程 通过 客户 机 和 第 三 方 Kerberos 
服务 器 (Kerberos 管理 器 KADMD) 间 的 协议 完成 。 有 关 管 理 协议 在 此 不 做 介绍 。 另 外 ， 也 有 
一 种 协议 用 于 维护 多 份 Kerberos 数据 库 的 拷贝 ， 这 可 以 认为 是 执行 过 程 中 的 细节 问题 ， 并 
且 会 不 断 改变 ， 以 适应 各 种 不 同 的 数据 库 技术 。 

Kerberos 又 指 麻 省 理工 学 院 为 这 个 协议 开发 的 一 套 计算 机 网 络 安全 系统 。 该 系统 设计 
上 采用 客户 端 /服务 器 结构 与 DES 加 密 技 术 ， 并 且 能 够 进行 相互 认证 ， 即 客户 端 和 服务 器 
端 均 可 对 对 方 进行 身份 认证 。 可 以 用 于 防止 窍 听 、 防 止 replay 攻击 、 保 护 数据 完整 性 等 场 
合 ， 是 一 种 应 用 对 称 密 钥 体制 进行 密 钥 管理 的 系统 。Kerberos 的 扩展 产品 也 使 用 公开 密 钥 
加 密 方法 进行 认证 。 


15.3.2 ”安全 外 壳 协 议 SSH 


SSH 为 Secure Shell 的 缩写 ， 是 由 IETF 的 网 络 工作 小 组 (Network Working Group) 制 定 
的 ，SSH 是 建立 在 应 用 层 和 传输 层 基础 上 的 安全 协议 。SSH 是 目前 较 可 靠 的 、 专 为 远程 登 
录 会 话 和 其 他 网 络 服务 提供 安全 性 的 协议 。 利 用 SSH 协议 ， 可 以 有 效 地 防止 远程 管理 过 程 
中 的 信息 泄露 问题 。SSH 最 初 是 Unix 系统 上 的 一 个 程序 ， 后 来 迅速 扩展 到 其 他 操作 平台 。 
SSH 在 正确 使 用 时 ， 可 弥补 网 络 中 的 漏洞 。 

SSH 客户 端 适用 于 多 种 平台 。 几乎 所 有 Unix 平台 , 包括 HP-UX、Linux、AIX、Solaris、 
Digital Unix、Irix， 以 及 其 他 平台 ， 都 可 运行 SSH。 

在 实际 工作 中 ，SSH 协议 通常 是 替代 Telnet 协议 、RSH 协议 来 使 用 的 。SSH 协议 类 似 
于 Telnet 协议 ， 它 允许 客户 机 通过 网 络 连接 到 远程 服务 器 , 并 运行 该 服务 器 上 的 应 用 程序 ， 
被 广泛 用 于 系统 管理 中 。 

该 协议 可 以 加 密 客户 机 和 服务 器 之 间 的 数据 流 ， 这 样 ， 可 以 避免 Telnet 协议 中 口令 被 窃 
听 的 问题 。 该 协议 还 支持 多 种 不 同 的 认证 方式 ， 以 及 用 于 加 密 包 括 FTP 数据 外 的 多 种 情况 。 

从 客户 端 来 看 ，SSH 提供 两 种 级 别 的 安全 验证 。 

(1) 第 一 种 级 别 (基于 口令 的 安全 验证 ) 

只 要 你 知道 自己 的 账号 和 口令 , 就 可 以 登录 到 远程 主机 。 所 有 传输 的 数据 都 会 被 加 密 ， 
但 是 ， 不 能 保证 你 正在 连接 的 服务 器 就 是 你 想 连 接 的 服务 器 ， 可 能 会 有 别 的 服务 器 在 冒充 
真正 的 服务 器 ， 也 就 是 受到 “中 间 人 ”这 种 方式 的 攻击 。 

(2) 第 二 种 级 别 ( 基 于 密 匙 的 安全 验证 ) 

这 种 安全 级 别 需 要 依靠 密 匙 ， 也 就 是 你 必须 为 自己 创建 一 对 密 匙 ， 并 把 公用 密 匙 放 在 
需要 访问 的 服务 器 上 。 如 果 你 要 连接 到 SSH 服务 器 上 , 客户 端 软 件 就 会 向 服务 器 发 出 请 求 ， 
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请 求 用 你 的 密 匙 进行 安全 验证 。 服 务 器 收 到 请 求 之 后 ， 先 在 该 服务 器 上 你 的 主 目录 下 寻找 
你 的 公用 密 匙 ， 然 后 把 它 与 你 发 送 过 来 的 公用 密 匙 进行 比较 。 如 果 两 个 密 匙 一 致 ， 服 务 器 
就 用 公用 密 是 加密“ 质询 ”(Challenge)， 并 把 它 发 送 给 客户 端 软件 。 客 户 端 软 件 收 到 “ 质 
询 ” 后 ， 就 可 以 用 你 的 私人 密 是 解密， 再 把 它 发 送 给 服务 器 。 

用 这 种 方式 ， 你 必须 知道 自己 密 匙 的 口令 。 但 是 ， 与 第 一 种 级 别 相 比 ， 第 二 种 级 别 不 
需要 在 网 络 上 传送 口令 。 

第 二 种 级 别 不 仅 加 密 所 有 传送 的 数据 ， 而 且 “ 中 间 人 ”这 种 攻击 方式 也 是 不 可 能 的 ( 因 
为 他 没有 你 的 私人 密 匙 )。 但 是 ， 整 个 登录 的 过 程 可 能 需要 10 秒 。 

如 果 你 考察 一 下 接 入 ISP(Internet Service Provider， 互 联网 服务 供应 商 ) 或 大 学 的 方法 ， 
一 般 都 是 采用 Telnet 或 POP 邮件 客户 进程 。 因 此 ， 每 当 要 进入 自己 的 账号 时 ， 你 输入 的 密 
码 将 会 以 明码 方式 发 送 ( 即 没有 保护 ， 直 接 可 读 )， 这 就 给 攻击 者 一 个 盗用 账号 的 机 会 。 由 
于 SSH 的 源 代码 是 公开 的 ， 所 以 ， 在 Unix 世界 里 ， 它 获得 了 广泛 的 认可 。Linux 连 源 代码 
也 是 公开 的 ， 大 众 可 以 免费 获得 ， 并 同时 获得 了 类 似 的 认可 。 这 就 使 得 所 有 开发 者 (或 任何 
人 ) 都 可 以 通过 补丁 程序 或 Bug 修补 , 来 提高 其 性 能 ， 甚 至 还 可 以 增加 功能 。 开发 者 获得 并 
安装 SSH, 意味 着 其 性 能 可 以 不 断 提高 , 而 无 须 得 到 来 自 原始 创作 者 的 直接 技术 支持 。 SSH 
替代 了 不 安全 的 远程 应 用 程序 。SSH 是 设计 用 来 蔡 代 伯克利 版 本 的 r 命令 集 的 ， 它 同时 继 
承 了 类 似 的 语法 。 其 结果 是 ， 使 用 者 注意 不 到 使 用 SSH 和 上 T 命令 集 的 区 别 。 利 用 它 ， 你 还 
可 以 干 一 些 很 酷 的 事 。 通 过 使 用 SSH， 你 在 不 安全 的 网 络 中 发 送信 息 时 ， 不 必 担 心 会 被 监 
听 。 你 也 可 以 使 用 POP 通道 和 Telnet 方式 , 通过 SSH， 可 以 利用 PPP 通道 创建 一 个 虚拟 个 
人 网 络 (Virtual Private Network，VPN)。SSH 也 支持 一 些 其 他 的 身份 认证 方法 ， 如 Kerberos 
和 安全 ID 卡 等 。 


15.3.3 ”安全 电子 交易 协议 SET 


SET 协议 (Secure Electronic Transaction) 被 称 为 安全 电子 交易 协议 ， 是 由 Master Card 和 
Visa 联合 Netscape、Microsoft 等 公司 ， 于 1997 年 6 月 推出 的 一 种 新 的 电子 支付 模型 。 

SET 协议 是 B2C 上 基于 信用 卡 支付 模式 而 设计 的 , 它 保 证 了 开放 网 络 上 使 用 信用 卡 进 
行 在 线 购物 的 安全 。SET 主要 是 为 了 解决 用 户 、 商 家 、 银 行 之 间 通 过 信用 卡 的 交易 而 设计 
的 ， 它 具有 保证 交易 数据 的 完整 性 ， 交 易 的 不 可 抵赖 性 等 种 种 优点 ， 因 此 ， 它 成 为 目前 公 
认 的 信用 卡 网 上 交易 的 国际 标准 。 

SET 是 在 一 些 早期 协议 (SEPP、VISA、STT) 的 基础 上 整合 而 成 的 ， 它 定义 了 交易 数据 
在 卡 用 户 、 商 家 、 发 卡 行 、 收 单行 之 间 的 流通 过 程 ， 以 及 支持 这 些 交易 的 各 种 安全 功能 ( 数 
字 签 名 、Hash 算法 、 加 密 等 )。 

SET 支付 体系 由 以 下 部 分 组 成 : 

@ 持 卡 人 。 指 由 发 卡 银行 所 发 行 的 支付 卡 的 授权 持 有 者 。 

@ 商家。 指出 售 商品 或 服务 的 个 人 或 机 构 。 商 家 必须 与 收 单 银行 建立 业务 联系 ， 以 

接受 支付 卡 这 种 付款 方式 。 

@ 发卡 银 行 。 指 持 卡 人 提供 支付 卡 的 金融 机 构 。 

@ ” 收 单 银行 。 指 与 商家 建立 业务 联系 的 金融 机 构 。 

@ 支付 网 关 。 实现 对 支付 信息 从 Intemet 到 银行 内 部 网 络 的 转换 , 并 对 商家 和 持 卡 人 
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算 进行 认证 。 
机 | 。 认证 中 心 CA。 在 基于 SET 协议 的 电子 商务 体系 中 起 着 重要 作用 。 可 以 为 持 卡 人 、 


息 商家 和 支付 网 关 签 发 X.509V3 数字 证 书 ， 让 持 卡 人 、 商 家 和 支付 网 关 通过 数字 证 
安 书 进行 认证 。 

加 SET 协议 运行 的 目标 主要 有 : 

而 e@ ”保证 信息 在 互联 网 上 安全 传输 ， 防 止 数据 被 黑客 或 被 内 部 人 员 窃 取 。 


@ ”保证 电子 商务 参与 者 信息 的 相互 隔离 。 客 户 的 资料 加 密 或 打包 后 ， 通 过 商家 到 达 
银行 ， 但 是 ， 商 家 不 能 看 到 客户 的 账户 和 密码 信息 。 
e@ ”解决 网 上 认证 问题 不 仅 要 对 消息 者 的 银行 卡 认证 ， 而 且 要 对 在 线 商店 的 信誉 程度 
认证 ， 同 时 还 有 消费 者 、 在 线 商 店 与 银行 间 的 认证 。 
@ ”保证 网 上 交易 的 实时 性 ， 使 所 有 的 支付 过 程 都 是 在 线 的 。 
@ 效仿 EDI 贸易 的 形式 ， 规 范 协议 和 消息 格式 ， 促 使 不 同 厂家 开发 的 软件 既 有 兼容 
性 和 互 操作 功能 ， 并 且 可 以 运行 在 不 同 的 硬件 和 操作 系统 上 。 
SET 协议 的 工作 流程 如 下 。 
(1) 消费 者 通过 因特网 选 定 所 要 购买 的 物品 ， 并 在 计算 机 上 输入 订货 单 。 订 货 单 要 包 
括 在 线 商 店 、 物 品 的 名 称 及 数量 、 交 货 时 间 及 地 点 等 相关 信息 。 
(2) 通过 电子 商务 服务 器 与 有 关 在 线 商 店 联系 ， 在 线 商店 做 出 应 答 ， 与 消费 者 核对 订 
货 单 ， 告 诉 消费 者 所 填 订货 单 相 关 信息 是 否 准 确 ， 是 否 有 变化 。 
(3) 消费 者 选择 付款 方式 ， 确 认 订单 (与 物品 相关 的 信息 )， 签 发 付款 指令 。 此 时 SET 
开始 介入 。 
(4) 在 SET 中， 消费 者 必须 对 订单 和 付款 指令 进行 数字 签名 。 
(5) 在 线 商店 接受 订单 后 ， 向 消费 者 所 在 银行 请 求 支 付 认可 。 信 息 通过 支付 网 关 到 收 
单 银行 ， 再 到 电子 货币 发 行 公司 确认 。 批 准 交易 后 ， 返 回 确认 信息 给 在 线 商 店 。 
(6) 在 线 商 店 发 送 订单 确认 信息 给 消费 者 。 消 费 者 端的 软件 可 记录 交易 日 志 ， 以 备 将 
来 查询 。 
(7) 在 线 商店 发 送 货 物 ， 或 提供 服务 ， 并 通知 收 单 银行 将 钱 从 消费 者 的 账号 转移 到 商 
店 账号 ， 或 通知 发 卡 银行 请 求 支付 。 
如 图 15-4 所 示 的 是 SET 协议 的 工作 流程 。 


信用 卡 认证 


CA 认证 中 心 


SET 协议 
图 15-4 SET 协议 的 工作 流 : 
为 进一步 加 强 安全 ，SET 使 用 两 组 密 钥 对 ， 分 别 用 于 加 密 和 签名 。SET 不 希望 商家 得 
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到 顾客 的 账户 信息 ， 同 时 ， 也 不 希望 银行 了 解 到 交易 内 容 ， 但 又 要 求 能 对 每 一 笔 单独 的 交 
易 进 行 授权 。SET 通过 双 签 名 机 制 ， 将 订购 信息 和 账户 信息 链 在 一 起 签名 ， 巧 妙 地 解决 了 
这 一 矛盾 。 
尽管 优点 很 多 ，SET 协议 也 存在 不 足 之 处 : 
@ 它 是 目前 最 为 复杂 的 保密 协议 之 一 ， 整 个 规范 有 3000 行 以 上 的 ASN.1 语法 定义 ， 
交易 处 理 步骤 很 多 ， 在 不 同 实现 方式 之 间 的 互 操作 性 也 是 一 大 问题 。 
@ ”每 个 交易 涉及 到 6 次 RSA 操作 ， 处 理 速度 很 慢 。 


15.3.4 ”安全套 接 层 协 议 SSL 


SSL(Secure Sockets Layer， 安 全 套 接 层 ) 及 其 继任 者 传输 层 安 全 (Transport Layer 
Security，TLS)， 是 为 网 络 通信 提供 安全 及 数据 完整 性 的 一 种 安全 协议 。TLS 和 SSL 在 传 
输 层 对 网 络 连 接 进 行 加 密 。 目 前 有 三 个 版 本 : 2、3、3.1， 最 常用 的 是 第 3 版 ， 是 1995 年 
发 布 的 。 现 在 主要 用 于 Web 通信 安全 、 电 子 商务 ， 还 被 用 在 对 SMTP、POP3、Telnet 等 应 
用 服务 的 安全 保障 上 。 

SSL 被 设计 成 使 用 TCP 来 提供 一 种 可 靠 的 端 到 端的 安全 服务 。SSL 分 为 两 层 协议 ， 如 
15-5 所 示 。 


应 用 层 (如 HTTP、FTP、Telnet、SMTP 等 ) 
SSL 提 手 协议 | ssr 更 改 密码 规程 协议 | SSL 报警 协议 
SSL 记录 协议 
TCP 
IP 


15-5 ”SSL 协议 的 两 层 结构 


SSL 握手 协议 、SSL 更 改 密 码 规 程 协 议 、SSL 报警 协议 位 于 上 层 ，SSL 记录 协议 为 不 
同 的 更 高 层 提供 了 基本 的 安全 服务 ， 可 以 看 到 ，HTTP 可 以 在 SSL 上 运行 。 
SSL 中 有 两 个 重要 的 概念 SSL 连接 和 SSL 会 话 。 
@ SSL 连接 : 连接 时 ， 提 供 恰当 类 型 服务 的 传输 。SSL 连接 是 点 对 点 的 关系 ， 每 一 
个 连接 与 一 个 会 话 相 联系 。 
@ SSL 会 话 : SSL 会 话 是 客户 和 服务 器 之 间 的 关联 ， 会 话 通过 握手 协议 来 创建 ， 可 
以 用 来 避免 为 每 个 连接 进行 昂贵 的 新 安全 参数 的 协商 。 
当前 几乎 所 有 浏览 器 都 支持 SSL， 但 是 ,支持 的 版 本 有 所 不 同 。 由 图 15-6 可 知 ,下 同 
时 支持 SSL 2.0 和 SSL 3.0 两 个 版 本 ， 图 中 给 出 了 正 浏览 器 中 SSL 协议 的 两 个 选项 。 读 者 
可 以 通过 打开 下 浏览 器 ， 选 择 “ 工 具 ” 一 “Internet 选项 ”菜单 命令 ， 通 过 “高 级 ”选项 
来 查看 。 
SSL 协议 由 协商 过 程 和 通信 过 程 组 成 ， 协 商 过 程 用 于 确定 加 密 机 制 、 加 密 算 法 、 交 换 
会 话 密 钥 服务 器 认证 以 及 可 选 的 客户 端 认 证 ， 而 通信 过 程 秘密 传送 上 层 数 据 。 
SSL 协议 的 通信 过 程 通过 以 下 3 个 元 素来 完成 。 
(1) 握手 协议 
这 个 协议 负责 被 用 于 客户 机 和 服务 器 之 间 会 话 的 加 密 参 数 。 当 一 个 SSL 客户 机 和 服务 
器 第 一 次 开始 通信 时 ， 它 们 在 一 个 协议 版 本 上 达成 一 致 ， 选 择 加 密 算法 和 认证 方式 ， 并 使 


A 


算 | 用 公 钥 技术 来 生成 共享 密 钥 。 


‘ 
4 重新 启动 Internet Explorer 之 后 生效 
| 还原 高 级 设置 @ | 


重 置 Internet Explorer 设置 人 
将 Internet Explorer 设置 重 置 为 默认 设置 。 [Eo 
保 在 浏览 器 处 于 无 法 使 用 的 杖 态 时 ， 才 使 用 此 设置 。 


[mn | | [ERw |] 


15-6 IE 浏览 器 中 关于 SSL 协议 的 选项 

(2) 记录 协议 

这 个 协议 用 于 交换 应 用 数据 。 应 用 程序 消息 被 分 割 成 可 管理 的 数据 块 ， 还 可 以 压缩 ， 
并 产生 一 个 MAC( 消 息 认 证 代码 )， 然 后 结果 被 加 密 并 传输 。 接 收 方 接受 数据 并 对 它 解密 ， 
校 验 MAC， 解 压 并 重新 组 合 ， 把 结果 提供 给 应 用 程序 协议 。 

(3) 警告 协议 

这 个 协议 用 于 指示 在 什么 时 候 发 生 了 错误 ， 或 两 个 主机 之 间 的 会 话 在 什么 时 候 终止 。 


15.3.5 网络 层 安全 协议 IPSec 


IPSec 由 IETF 制定 ， 面 向 TCMP， 它 为 IPv4 和 IPv6 协议 提供 基于 加 密 安全 的 协议 。 
IPSec 在 TCP/IP 协议 栈 中 所 处 的 层次 如 图 15-7 所 示 。 


HTTP | FIP | SMIP ] 
TCP 
IPIPSec 


15-7 IPSec 协议 在 TCP/IP 协议 栈 中 所 处 的 层次 


IPSec 的 目的 ， 就 是 要 有 效 地 保护 IP 数据 包 的 安全 。 它 提供 了 一 种 标准 的 、 强 大 的 以 
及 包容 广泛 的 机 制 , 为 人 P 及 上 层 协议 提供 安全 保证 ， 并 定义 了 一 套 默认 的 、 强 制 实施 的 算 
法 ， 以 确保 不 同 的 实施 方案 相互 间 可 以 共通 ， 而 且 很 便于 扩展 。 

IPSec 可 保障 主机 之 间 、 安 全 网 关 之 间 或 主机 与 安全 网 关 之 间 的 数据 包 安全 。 由 于 受 
IPSec 保护 的 数据 包 本 身 只 是 另 一 种 形式 的 瑟 包 ， 所 以 ， 完 全 可 以 嵌 套 提供 安全 服务 ， 同 
时 ， 在 主机 间 提 供 端 到 端的 验证 ， 并 通过 一 个 安全 通道 ， 将 那些 受 了 PSec 保护 的 数据 传送 
出 去 。 


EL 
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IPSec 是 一 个 工业 标准 网 络 安全 协议 ， 它 有 以 下 两 个 基本 目标 : 

@ 保护 耳 数 据 包 安全 。 

@ ”为 抵御 网 络 攻击 提供 防护 措施 。 

这 两 个 目标 都 是 通过 使 用 基于 加 密 的 保护 服务 、 安 全 协议 与 动态 密 钥 管 理 来 实现 的 。 
这 个 基础 为 专用 网 络 计算 机 、 域 、 站 点 、 远 程 站 点 、Extranet 和 拨号 用 户 之 间 的 通信 提供 了 
既 有 力 又 灵活 的 保护 ， 它 甚至 可 以 用 来 阻碍 特定 通信 类 型 的 接收 和 发 送 。 其 中 ， 以 接收 和 
发 送 最 为 重要 。 

IPSec 结合 密码 保护 服务 、 安 全 协议 组 和 动态 密 钥 管 理 ， 三 者 共同 实现 这 两 个 目标 。 

IPSec 保护 数据 主要 有 以 下 3 种 形式 。 

(1) 认证 

通过 认证 ， 可 以 确定 所 接受 的 数据 与 所 发 送 的 数据 是 否 一 致 ， 同 时 ， 可 以 确定 申请 发 
送 者 在 实际 上 是 真实 的 还 是 伪装 的 发 送 者 。 

(2) 数据 完整 验证 

通过 验证 ， 保 证 数据 在 从 原 发 地 到 目的 地 的 传送 过 程 中 ， 没 有 发 生 任何 无 法 检测 的 丢 
失 与 改变 。 

(3) 保密 

使 相应 的 接受 者 能 获取 发 送 的 真正 内 容 ， 而 无 关 的 接受 者 无 法 获知 数据 的 真正 内 容 。 

RFC2401 给 出 了 IPSec 的 基本 结构 定义 ， 并 为 所 有 具体 的 实施 方案 建立 了 基础 。 它 定 
义 了 IPSec 提供 的 安全 服务 ， 并 说 明了 它们 如 何 使 用 ， 及 在 哪里 使 用 ， 数 据 包 如 何 构 建 及 
处 理 ， 以 及 IPSec 处 理 同 策略 之 间 如 何 协调 等 问题 。 

IPSec 协议 既 可 用 来 保护 一 个 完整 的 卫 载荷 ， 亦 可 用 来 保护 某 个 他 载荷 的 上 层 协 议 。 
这 两 方面 的 保护 分 别 由 IPSec 两 种 不 同 的 “模式 ”来 提供 ， 即 传送 模式 和 通道 模式 。 如 
图 15-8 所 示 的 是 位 于 传送 模式 和 通道 模式 下 的 数据 包 与 原始 的 了 P 数据 包 的 结构 。 
原始 的 |P 包 
IF 关 [TCP 关 ”数据 ] 
传送 模式 受 保护 的 包 
iP 天 [IPSec TCP 头 | 数据 


通道 模式 受 保护 的 包 
IP 头 jiPSec 头 ”IP 头 | TCP 头 | 数据 


图 15-8 位 于 传送 模式 和 通道 模式 下 的 数据 包 结构 


传送 模式 用 来 保护 上 层 协 议 ， 而 通道 模式 用 来 保护 整个 人 P 数据 报 。 

ESP(Encapsulating Security Payload， 封 装 安全 载荷 ) 是 基于 IPSec 的 一 种 协议 ， 可 用 于 
确保 下 数据 包 的 机 密 性 、 完整 性 以 及 对 数据 源 的 身份 验证 , 此 外 , 它 也 负责 抵抗 重播 攻击 。 

具体 做 法 是 在 他 头 之 后 ,在 要 保护 的 数据 之 前 , 插入 一 个 新 头 , 亦 即 ESP 头 。 受 保护 
的 数据 可 以 是 一 个 上 层 协 议 ， 或 者 是 整个 他 数据 包 。 然 后 ， 还 要 在 最 后 追加 一 个 ESP 尾 。 

ESP 是 一 种 新 的 他 协议， 对 ESP 数据 包 的 标识 是 通过 IP 头 的 协议 字段 来 进行 的 。 假 
如 它 的 值 为 50， 就 表明 这 是 一 个 ESP 包 ， 而 紧 接 在 下头 后 面 的 是 一 个 ESP 头 。 

由 于 ESP 同时 提供 了 机 密 性 和 身份 验证 机 制 ， 所 以 ， 在 其 SA 中 ， 必 须 同 时 定义 两 套 


je 


PF 


算法 : 用 来 确保 机 密 性 的 算法 称 为 加 密 器 ， 而 负责 身份 验证 的 算法 称 为 验证 器 。 每 个 ESP 
的 SA 都 至 少 有 一 个 加 密 器 和 解密 器 。 

ESP 既 有 头 ， 也 有 尾 ， 头 和 尾 之 间 封 装 了 要 保护 的 数据 ， 如 图 15-9 所 示 是 一 个 受 ESP 
保护 的 全 数据 包 的 结构 。 

与 ESP 类 似 ，AH 也 提供 了 数据 完整 性 、 数 据 源 验 证 以 及 抗 重播 攻击 的 能 力 ， 但 不 能 
以 此 保证 数据 的 机 密 性 。 因 此 ，AH 头 比 ESP 简单 得 多 ， 它 只 有 一 个 头 ,而 非 头 、 尾 缘 有 。 
除 此 而 外 ，AH 头 内 的 所 有 字段 都 是 一 目 了 然 的 。 

AH 的 验证 范围 与 ESP 有 区 别 : AH 验证 的 是 IPSec 包 的 外 层 他 头 。 AH 文件 还 定义 了 
AH 头 的 格式 、 采 用 传送 模式 或 通道 模式 时 头 的 位 置 等 相关 信息 ， 如 图 15-10 所 示 是 一 个 受 
AH 保护 的 他 数据 包 的 结构 。 


- 
主 渡 


又 斌 炒 愉 慌 避 


1 1 
一 一 已 吉 窒 一 一 >! 


4 一 一 一 一 已 签证 1 已 验证 
15-9 受 ESP 保护 的 IP 数据 包 的 结构 15-10 受 AH 保护 的 IP 数据 包 的 结构 
Intemet 密 钥 交换 (IKE): IKE 唯一 的 用 途 就 是 在 IPSec 通信 双方 之 间 建 立 起 共享 安全 参 


数 及 验证 过 的 密 钥 。 
IKE 通信 可 分 以 下 几 步 进行 : 进行 某 种 形式 的 协商 ; Diffie-Hellman 交换 以 及 共享 秘密 
的 建立 ， 对 Diffie-Hellman 共享 秘密 和 下 E SA 本 身 进 行 验证 。 
IKE 定义 了 5 种 验证 方法 : 
预 共享 密 钥 。 
数字 签名 (使 用 数字 签名 标准 ， 即 DSS)。 
数字 签名 (使 用 RSA 公共 密 钥 算 法 )。 
用 RSA 进行 加 密 的 nonce 交换 。 
用 加 密 nonce 进行 的 一 种 “校订 ”验证 方法 。 
其 中 ，nonce 是 一 种 随机 数字 。 
IPsec 与 IKE 的 关系 如 下 : 
@ IKE 是 UDP 之 上 的 一 个 应 用 层 协 议 ， 是 IPsec 的 信 令 协议 。 
@ IKE 为 IPsec 协商 建立 SA， 并 把 建立 的 参数 及 生成 的 密 钥 交 给 IPsec。 
@ IPsec 使 用 IKE 建立 的 SA 对 人 P 报 文 加 密 或 认证 处 理 。 


15.4 网 络 安全 标准 和 规范 


15.4.1 TCSEC 


TCSEC 标准 是 计算 机 系统 安全 评估 的 第 一 个 正式 标准 ， 具 有 划时代 的 意义 。 该 准则 于 
1970 年 由 美国 国防 科学 委员 会 提出 , 并 于 1985 年 12 月 由 美国 国防 部 公布 。TCSEC 最 初 只 
是 军用 标准 ， 后 来 延至 民用 领域 。TCSEC 将 计算 机 系统 的 安全 划分 为 4 个 等 级 、7 个 级 别 。 
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(1) D 类 安全 等 级 

D 类 安全 等 级 只 包括 D1 一 个 级 别 。 D1 的 安全 等 级 最 低 。 D1 系统 只 为 文件 和 用 户 提供 
安全 保护 。D1 系统 最 普通 的 形式 是 本 地 操作 系统 ， 或 者 是 一 个 完全 没有 保护 的 网 络 。 

(2) C 类 安全 等 级 

该 类 安全 等 级 能 够 提供 审慎 的 保护 ， 并 为 用 户 的 行动 和 责任 提供 审计 能 力 。C 类 安全 
等 级 可 划分 为 Cl 和 C2 两 类 。C1 系统 的 可 信任 运算 基础 体制 (Trusted Computing Base, TCB) 
通过 将 用 户 和 数据 分 开 ， 来 达到 安全 的 目的 。 在 Cl 系统 中 ， 所 有 的 用 户 以 同样 的 灵敏 度 
来 处 理 数 据 ， 即 用 户 认 为 C1 系统 中 的 所 有 文档 都 具有 相同 的 机 密 性 。C2 系统 比 C1 系统 
加 强 了 可 调 的 审慎 控制 。 在 连接 到 网 络 上 时 ，C2 系统 的 用 户 分 别 对 各 自 的 行为 负责 。C2 
系统 通过 登录 过 程 、 安 全 事件 和 资源 隔离 来 增强 这 种 控制 。C2 系统 具有 C1 系统 中 所 有 的 
安全 性 特征 。 

(3) B 类 安全 等 级 

B 类 安全 等 级 可 分 为 B1、B2 和 B3 三 类 。B 类 系统 具有 强制 性 保护 功能 。 强 制 性 保护 
意味 着 如 果 用 户 没有 与 安全 等 级 相连 ， 系 统 就 不 会 让 用 户 存 取 对 象 。 

@ Bl 系统 满足 下 列 要 求 : 系统 对 网 络 控制 下 的 每 个 对 象 都 进行 灵敏 度 标记 ; 系统 使 
用 灵敏 度 标记 作为 所 有 强迫 访问 控制 的 基础 ， 系 统 在 把 导入 的 、 非 标记 的 对 象 放 入 系统 前 
标记 它们 ; 灵敏 度 标记 必须 准确 地 表示 其 所 联系 的 对 象 的 安全 级 别 ， 当 系统 管理 员 创 建 系 
统 或 者 增加 新 的 通信 通道 或 VO 设备 时 ， 管 理 员 必须 指定 每 个 通信 通道 和 IO 设备 是 单 级 
还 是 多 级 ， 并 且 管 理 员 只 能 手工 改变 指定 ; 单 级 设备 并 不 保持 传输 信息 的 灵敏 度 级别 ;， 所 
有 直接 面向 用 户 位 置 的 输出 (无 论 是 虚拟 的 还 是 物理 的 ) 都 必须 产生 标记 来 指示 关于 输出 对 
象 的 灵敏 度 ， 系 统 必 须 使 用 用 户 的 口令 或 证 明 来 决定 用 户 的 安全 访问 级 别 ， 系 统 必 须 通过 
审计 来 记录 未 授权 访问 的 企图 。 

@”B2 系统 必须 满足 Bl 系统 的 所 有 要 求 。 另 外 ，B2 系统 的 管理 员 必 须 使 用 一 个 明确 
的 、 文 档 化 的 安全 策略 模式 作为 系统 的 可 信任 运算 基础 体制 。B2 系统 必须 满足 下 列 要 求 : 
系统 必须 立即 通知 系统 中 的 每 一 个 用 户 所 有 与 之 相关 的 网 络 连接 的 改变 ， 只 有 用 户 能 够 在 
可 信任 通信 路 径 中 进行 初始 化 通信 ; 可 信任 运算 基础 体制 能 够 支持 独立 的 操作 者 和 管理 员 。 

@”B3 系统 必须 符合 B2 系统 的 所 有 安全 需求 。 B3 系统 具有 很 强 的 监视 委托 管理 访问 
能 力 和 抗 干 扰 能 力 。B3 系统 必须 设 有 安全 管理 员 。B3 系统 应 满足 以 下 要 求 : 除了 控制 对 
个 别 对 象 的 访问 外 ，B3 必须 产生 一 个 可 读 的 安全 列表 ; 每 个 被 命名 的 对 象 提供 对 该 对 象 没 
有 访问 权 的 用 户 列表 说 明 ; B3 系统 在 进行 任何 操作 前 ， 要 求 用 户 进行 身份 验证 ，B3 系统 
验证 每 个 用 户 ， 同 时 ， 还 会 发 送 一 个 取消 访问 的 审计 跟踪 消息 ; 设计 者 必须 正确 区 分 可 信 
任 的 通信 路 径 和 其 他 路 径 ， 可 信任 的 通信 基础 体制 为 每 一 个 被 命名 的 对 象 建 立 安全 审计 跟 
踪 ; 可 信任 的 运算 基础 体制 支持 独立 的 安全 管理 。 

(4) A 类 安全 等 级 

A 系统 的 安全 级 别 最 高 。 目 前 ，A 类 安全 等 级 只 包含 Al 一 个 安全 类 别 。Al 类 与 B3 
类 相似 ， 对 系统 的 结构 和 策略 不 做 特别 要 求 。Al 系统 的 显著 特征 是 ， 系 统 的 设计 者 必须 按 
照 一 个 正式 的 设计 规范 来 分 析 系 统 。 对 系统 分 析 后 ， 设 计 者 必须 运用 核对 技术 来 确保 系统 
村 合 设 计 规 范 。Al 系统 必须 满足 下 列 要 求 : 系统 管理 员 必 须 从 开发 者 那里 接收 到 一 个 安全 
策略 的 正式 模型 ， 所 有 的 安装 操作 都 必须 由 系统 管理 员 进 行 ， 系 统管 理 员 进行 的 每 一 步 安 


算 | 装 操作 都 必须 有 正式 文档 。 

央 在 信息 安全 保障 阶段 ， 欧 洲 四 国 ( 英 、 法 、 德 、 荷 ) 提 出 了 评价 满足 保密 性 、 完 整 性 、 
络 | 可 用 性 要 求 的 信息 技术 安全 评价 准则 (ITSEC) 后 , 美国 又 联合 以 上 诸 国 和 加 拿 大 ， 并 会 同 国 
安 | 际 标准 化 组 织 (COSD 共 同 提出 了 信息 技术 安全 评价 的 通用 准则 (CC forITSEC)，CC 已 经 被 五 
加 个 技术 发 达 的 国家 承认 为 代替 TCSEC 的 评价 安全 信息 系统 的 标准 。 目 前 ，CC 已 经 被 采纳 
侧 | 为 国家 标准 ISO15408。 


15.4.2 1SO15408(CC) 


ISO 国际 标准 化 组 织 于 1999 年 正式 发 布 了 ISO/TEC15408。ISO/IEC JTC 1 和 Common 
Criteria Project Organizations 共同 制订 了 此 标准 ， 此 标准 等 同 于 Common Criteria v2.1。 

ISOTIEC15408 有 一 个 通用 的 标题 一 一 信息 技术 一 安全 技术 一 IT 安全 评估 准则 。 此 标准 
是 国际 标准 化 组 织 在 现 有 多 种 评估 准则 的 基础 上 ， 统 一 形成 的 。 该 标准 是 在 美国 和 欧洲 等 
国 分 别 自行 推出 并 实践 测评 准则 及 标准 的 基础 上 ， 通 过 相互 间 的 总 结 和 互补 发 展 起 来 的 。 

在 TCSEC 中 的 研究 中 心 是 TCB， 而 在 ITSEC、CC 和 ISOTEC15408 信息 技术 安全 评 
估 准 则 中 讨论 的 是 TOE(Target of Evaluation， 评 估 对 象 )。ISO/IEC15408 评估 准则 中 讨论 的 
是 TOE 的 安全 功能 (TOE Security Function，TSF)， 是 安全 的 核心 ， 类 似 TCSEC 的 TCB。 
TSF 安全 功能 执行 的 是 TOE 的 安全 策略 (TOE Security Policy，TSP)。TSP 是 由 多 个 安全 功 
能 策略 (Security Function Policies，SFPS) 所 组 成 ， 而 每 一 个 SFP 是 由 安全 功能 (SF) 实 现 的 。 
实现 TSF 的 机 制 与 TCSEC 的 相同 ， 即 “引用 监控 器 ”和 其 他 安全 功能 实现 机 制 。 


1. ISO/IEC15408(CC) 的 四 大 特征 


(1) ISO/TEC15408 测评 准则 符合 PDR 模型 

ISO/TEC15408 测评 准则 是 与 PDR( 防 护 、 检 听 、 反 应 ) 模 型 和 现代 动态 安全 概念 相符 合 
的 。 强 调 安全 需求 的 针对 性 。 这 种 需求 包括 安全 功能 需求 、 安 全 认证 需求 和 安全 环境 等 。 

(2) ISOTEC 15408 测评 准则 是 面向 整个 信息 产品 生存 期 的 

即 面向 安全 需求 、 设 计 、 实 现 、 测 试 、 管 理 和 维护 全 过 程 。 强 调 产品 需求 和 开发 阶段 
对 产品 安全 的 重要 作用 。 同 时 明确 了 安全 开发 环境 与 操作 环境 的 关系 ， 重 视 产 品 开发 和 操 
作 两 个 环境 对 安全 的 影响 。 只 有 这 种 测评 而 不 是 仅仅 安全 特性 的 测评 可 以 提高 和 规范 信息 
安全 产业 素质 与 质量 。 

(3) ISO/TEC15408 测评 准则 不 仅 考虑 了 保密 性 , 而 且 还 考虑 了 完整 性 和 可 用 性 多 方面 
的 安全 特性 ， 它 比 TCSEC 扩展 了 许多 当代 IT 发 展 的 安全 技术 功能 ， 应 用 范围 和 适应 性 很 
强 。ISO/TEC15408 测评 准则 全 面 定 义 了 安全 属性 ， 即 用 户 属性 、 客 体 属 性 、 主 体 属性 和 信 
息 属性 。 特 别 强调 把 用 户 属性 和 主体 属性 分 开 定义 (在 TCSEC 中 ， 主 体 包 含 用 户 )， 为 了 解 
决 强制 访问 控制 问题 ， 在 属性 类 型 中 定义 了 有 序 关 系 的 安全 属性 。 为 了 解决 数据 交换 的 安 
全 问题 ， 明 确 要 求 输出 /输入 划分 为 带 安全 属性 和 不 带 安 全 属性 两 种 形式 ， 强 调 了 网 络 安 全 
中 抗 抵赖 的 安全 要 求 ， 区 分 用 户 数据 和 系统 资源 的 防护 ， 突 出 了 必要 的 检测 和 监控 安全 要 
求 ， 强 调 了 安全 管理 的 重要 作用 。 对 可 信 恢 复 和 可 信 备份 、 操 作 重演 都 有 安全 要 求 ， 定 义 
了 加 密 支持 的 安全 要 求 ， 考 虑 到 用 户 的 隐私 的 适当 权力 ， 讨 论 了 某 些 故 障 、 错 误 和 异常 的 
安全 防护 问题 。 
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(4) ISO/TEC15408 测评 准则 有 与 之 配套 的 安全 测评 方法 (CEM) 和 信息 安全 标准 (PP 标 
准 ) 测 评 工 作 不 仅 定 性 ， 而 且 定量 ， 准 则 的 规范 性 大 大 提高 ， 有 较 强 的 可 操作 性 。 为 测评 工 
作 现 代 化 和 发 展 提供 了 基础 。 测评 种 类 划分 成 安全 防护 结构 (PP)、 安 全 目标 (ST) 和 认证 级 别 
(EAL) 测 评 。 

2. CC 的 内 容 


(1) 第 1 部 分 “简介 和 一 般 模型 ” 

正文 介绍 了 CC 中 的 有 关 术 语 、 基 本 概念 和 一 般 模型 ， 以 及 与 评估 有 关 的 一 些 框架 ， 
附录 部 分 主要 介绍 了 “保护 轮廓 ”和 “安全 目标 ”的 基本 内 容 。 

(2) 第 2 部 分 “安全 功能 要 求 ” 

按 “ 类 一 子 类 一 组 件 ” 的 方式 提出 安全 功能 要 求 ， 每 一 个 类 除 正文 外 ， 还 有 对 应 的 提 
示 性 附录 ， 做 进一步 解释 。 

(3) 第 3 部 分 “安全 保证 要 求 ” 

定义 了 评估 保证 级 别 ， 介 绍 了 “保护 轮廓 ”和 “安全 目标 ”的 评估 ， 并 按 “ 类 一 子 类 
一 组 件 ” 的 方式 提出 安全 保证 要 求 。 

3. CC 各 部 分 内 容 之 间 的 关系 


CC 的 三 个 部 分 相互 依存 ， 缺 一 不 可 : 

@ 第 1 部 分 介绍 CC 的 基本 概念 和 基本 原理 。 

@ 第 2 部 分 提出 了 技术 要 求 。 

e@ 第 3 部 分 提出 了 非 技术 要 求 和 对 开发 过 程 、 工 程 过 程 的 要 求 。 

@ 三 个 部 分 有 机 地 结合 成 一 个 整体 。 

这 些 关系 具体 体现 在 “保护 轮廓 ”和 “安全 目标 ”中 ，“ 保 护 轮 廊 ” 和 “安全 目标 ” 
的 概念 和 原理 由 第 1 部 分 介绍 ，“ 保 护 轮 廓 ”和 “安全 目标 ”中 的 安全 功能 要 求 和 安全 保 
证 要 求 在 第 2、3 部 分 选取 ， 这 些 安全 要 求 的 完备 性 和 一 致 性 ， 由 第 2、3 两 部 分 来 保证 。 


4. 将 CC 与 TESEC 对 比 


通过 对 比 ， 我 们 可 以 发 现 : 

@ CC 源 于 TCSEC， 但 已 经 完全 改进 了 TCSEC。 

@ TCSEC 主要 是 针对 操作 系统 的 评估 ， 提 出 的 是 安全 功能 要 求 ， 目 前 仍然 可 以 用 于 
对 操作 系统 的 评估 。 

@ 随 着 信息 技术 的 发 展 ,CC 全 面 地 考虑 了 与 信息 技术 安全 性 有 关 的 所 有 因素 , 以 “ 安 
全 功能 要 求 ” 和 “安全 保证 要 求 ” 的 形式 提出 了 这 些 因 素 ， 这 些 要 求 也 可 以 用 来 
构建 TCSEC 的 各 级 要 求 。 

5. CC 中 “类 一 子 类 一 组 件 ”的 结构 


CC 定义 了 作为 评估 信息 技术 产品 和 系统 安全 性 的 基础 准则 , 提出 了 目前 国际 上 公认 的 
表述 信息 技术 安全 性 的 结构 ， 即 : 安全 要 求 = 规范 产品 和 系统 安全 行为 的 功能 要 求 + 解 
决 如 何 正 确 有 效 地 实施 这 些 功 能 的 保证 要 求 。 

功能 和 保证 要 求 又 以 “类 一 一 子 类 一 一 组 件 ” 的 结构 表述 ， 组 件 作 为 安全 要 求 的 最 小 


i 


PF 


构件 块 ， 可 以 用 于 “保护 轮廓 ”、“ 安 全 目标 ”和 “ 包 ” 的 构建 ， 例 如 ， 由 保证 组 件 构成 
典型 的 包 一 一 “评估 保证 级 ”。 

功能 组 件 还 是 连接 CC 与 传统 安全 机 制 和 服务 的 桥梁 ， 并 可 解决 CC 同 已 有 准则 如 
TCSEC、ITSEC 的 协调 关系 ， 如 功能 组 件 构 成 TCSEC 的 各 级 要 求 。 


6. CC 的 先进 性 


(1) 结构 的 开放 性 

即 功能 和 保证 要 求 都 可 以 在 具体 的 “保护 轮廓 ”和 “安全 目标 ”中 进一步 细 化 和 扩展 ， 
如 可 以 增加 “备份 和 恢复 ”方面 的 功能 要 求 或 一 些 环境 安全 要 求 。 这 种 开放 式 的 结构 更 适 
应 信息 技术 和 信息 安全 技术 的 发 展 。 

(2) 表达 方式 的 通用 性 

即 给 出 通用 的 表达 方式 。 如 果 用 户 、 开 发 者 、 评 估 者 、 认 可 者 等 目标 读者 都 使 用 CC 
的 语言 ， 互 相 之 间 就 更 容易 理解 和 沟通 。 例 如 ， 用 户 使 用 CC 的 语言 表述 自己 的 安全 需求 ， 
开发 者 就 可 以 更 具 针 对 性 地 描述 产品 和 系统 的 安全 性 ， 评 估 者 也 更 容易 有 效 地 进行 客观 评 
估 ， 并 确保 用 户 更 容易 理解 评估 结果 。 这 种 特点 对 规范 实用 方案 的 编写 和 安全 性 测试 评估 
都 具有 重要 意义 。 在 经 济 全 球 化 发 展 、 全 球 信息 化 发 展 的 趋势 下 ， 这 种 特点 也 是 进行 合 
评定 和 评估 结果 国际 互 认 的 需要 。 

(3) 结构 和 表达 方式 的 内 在 完备 性 和 实用 性 

这 点 体现 在 “保护 轮廓 ”和 “安全 目标 ”的 编制 上 。 

“保护 轮廓 ”主要 用 于 表达 一 类 产品 或 系统 的 用 户 需求 ， 在 标准 化 体系 中 ， 可 以 作为 

安全 技术 类 标准 对 待 。 内 容 主 要 包括 : 

@ ”对 该 类 产品 或 系统 的 界定 性 描述 ， 即 确定 需要 保护 的 对 象 。 

e 确定 安全 环境 ， 即 指明 安全 问题 一 一 需要 保护 的 资产 、 已 知 的 威胁 、 用 户 的 组 织 
安全 策略 。 

@ 产品 或 系统 的 安全 目的 ， 即 对 安全 问题 的 相应 对 策 一 一 技术 性 和 非 技术 性 措施 。 

@ “信息 技术 安全 要 求 ， 包 括 功 能 要 求 、 保 证 要 求 和 环境 安全 要 求 ， 这 些 要 求 通过 满 
足 安 全 目的 ， 进 一 步 提出 具体 在 技术 上 如 何 解决 安全 问题 。 

@。 基本 原理 ， 指 明 安 全 要 求 对 安全 目的 、 安 全 目的 对 安全 环境 是 充分 且 必要 的 。 

另外 ， 还 有 一 些 附加 的 补充 说 明 信 息 : 

e “保护 轮廓 ”编制 ， 一 方面 解决 了 技术 与 真实 客观 需求 之 间 的 内 在 完备 性 。 

@ ” 另 一 方面 ,用户 通 过 分 析 所 需要 的 产品 和 系统 面临 的 安全 问题 ， 明 确 所 需 的 安全 
策略 ， 进 而 确定 应 采取 的 安全 措施 ， 包 括 技术 和 管理 上 的 措施 ， 这 样 ， 就 有 助 于 
提高 安全 保护 的 针对 性 、 有 效 性 。 

e “安全 目标 ”在 “保护 轮廓 ”的 基础 上 ， 通 过 将 安全 要 求 进 一 步 针 对 性 地 具体 化 ， 
解决 了 要 求 的 具体 实现 ， 常 见 的 实用 方案 就 可 以 当成 “安全 目标 ”来 对 待 。 

®@ ”通过 “保护 轮廓” 和 “安全 目标 ”这 两 种 结构 ， 就 便于 将 CC 的 安全 性 要 求 具体 
应 用 到 工 产品 的 开发 、 和 生产、 测试、 评估 和 信息 系统 的 集成 、 运 行 、 评 估 、 管理 中 。 

CC 作为 评估 信息 技术 产品 和 系统 安全 性 的 世界 性 通用 准则 , 是 信息 技术 安全 性 评估 结 

果 国 际 互 认 的 基础 。 
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早 在 1995 年 ，CC 项 目 组 就 成 立 了 CC 国际 互 认 工作 组 ， 此 工作 组 于 1997 年 制订 了 过 
渡 性 CC 互 认 协定 ， 并 在 同年 10 月 美国 的 NSA 和 NIST、 加 拿 大 的 CSE 和 英国 的 CESG 
签署 了 该 协定 。 

1998 年 5 月， 德国 的 GISA、 法 国 的 SCSSI 也 签署 了 此 互 认 协 定 。 

1999 年 10 月 ， 澳 大 利 亚 和 新 西 兰 的 DSD 加 入 了 CC 互 认 协定 。 

在 2000 年 ,又 有 荷兰、 西班牙 、 意 大 利 、 挪 威 、 芬 兰 、 瑞 典 、 和 希腊、 瑞士 等 国 加 入 了 
此 互 认 协定 , 日 本 、 韩 国 、 以 色 列 等 也 正在 积极 准备 加 入 此 协定 。 


15.4.3 BS7799 


BS7799 标准 于 1993 年 由 英国 贸易 工业 部 立项 , 于 1995 年 英国 首次 出 版 BS7799-1: 1995 
《信息 安全 管理 实施 细则 》， 它 提供 了 一 套 综合 的 、 由 信息 安全 最 佳 惯例 组 成 的 实施 规则 ， 
其 目的 是 作为 确定 工商 业 信息 系统 在 大 多 数 情 况 所 需 控制 范围 的 参考 基准 ， 并 且 适 用 于 大 、 
中 、 小 组 织 。 

BS7799 的 总 则 要 求 各 组 织 建立 并 运行 一 套 经 过 验证 的 信息 安全 管理 体系 , 用 于 解决 如 
下 问题 : 资产 的 保管 、 组 织 的 风险 管理 、 管 理 标的 和 管理 办 法 、 要 求 达到 的 安全 程度 。 

建立 管理 框架 、 确 立 并 验证 管理 目标 和 管理 办 法 时 ， 需 采取 如 下 步骤 。 

(1) 定义 信息 安全 策略 。 

(2) 定义 信息 安全 管理 体系 的 范围 ， 包 括 定义 该 组 织 的 特征 、 地 点 、 资 产 和 技术 等 方 
面 的 特征 。 

(3) 进行 合理 的 风险 评估 ， 包 括 找 出 资产 面临 的 威胁 、 弱 点 、 对 组 织 的 冲击 、 风 险 的 
强 弱 程 度 等 。 

(4) 根据 组 织 的 信息 安全 策略 及 所 要 求 的 安全 程度 ， 决 定 应 加 以 管理 的 风险 领域 。 

(5) 选 出 合理 的 管理 标的 和 管理 办 法 ， 并 加 以 实施 。 选 择 方案 时 ， 应 做 到 有 法 可 依 。 

(6) 准备 可 行 性 声明 是 指 在 声明 中 应 对 所 选择 的 管理 标的 和 管理 办 法 加 以 验证 , 同时 ， 
对 选择 的 理由 进行 验证 。 

(7) 对 上 述 步 骤 的 合理 性 应 按 规定 期 限定 期 审核 。 

现 已 有 30 多 家 机 构 通 过 了 信息 安全 管理 体系 认证 ， 范 围 包括 政府 机 构 、 银 行 、 保 险 公 
司 、 电 信 企 业 、 网 络 公司 及 许多 跨国 公司 。 

目前 ， 除 英国 外 ， 国 际 上 已 有 荷兰 、 丹 麦 、 挪 感 、 瑞 典 、 芬 兰 、 澳 大 利 亚 、 新 西 兰 、 
南非 、 巴 西 同意 使 用 BS7799; 日 本 、 瑞 士 、 卢 森 堡 表示 对 BS7799 感 兴趣 ; 我 国 的 台湾 、 
香港 地 区 也 在 推广 该 标准 。 值 得 一 提 的 是 ， 该 标准 也 是 目前 英国 最 畅行 的 标准 。 


1. 简 述 SSL 协议 的 作用 和 基本 运用 方式 。 

2. 简 述 OSI 安全 体系 结构 的 5 种 安全 服务 项 目 。 

3. 简 述 IPSec 协议 的 作用 和 IPSec 协议 应 用 的 主要 方面 。 
4. TCP/IP 分 为 几 层 ? 简 述 每 层 的 名 称 。 

5. 简要 描述 TCP 三 次 握手 的 过 程 (文字 、 和 画图 )。 


算 6. 查阅 资料 ， 列 举 还 有 哪些 著名 的 网 络 安全 协议 。 
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近年 来 ， 社 会 发 展 迅速 ， 各 行 各 业 都 大 量 使 用 现代 化 通信 技术 ， 尤 其 是 无 线 网 络 的 使 
用 ， 大 大 方便 了 一 些 行业 ， 给 这 些 行业 的 发 展 节省 了 很 多 的 成 本 ， 同 时 ， 也 大 大 提高 了 工 
作 效 率 。 

无 线 网 络 与 有 限 网 络 相 比 ， 无 线 网 络 成 本 低 ， 使 用 灵活 ， 与 当今 提倡 创建 节约 型 小 康 
社会 也 相 吻 合 。 

在 这 种 情况 下 ， 无 线 网 络 的 安全 自然 也 成 了 热点 问题 。 


16.1 无 线 网 络 技术 概述 


所 谓 的 无 线 网 络 (Wireless LAN/WLAN)， 是 指 用 户 以 电脑 通过 区 域 空间 的 无 线 网 卡 
(Wireless Card / PCMCIA 卡 ) 结 合 存 取 桥 接 器 (Access Poinb 进 行 区 域 无 线 网 络 连接 ， 再 加 上 
一 组 无 线 上 网 拨 接 账号 ， 即 可 上 网 进行 网 络 资源 的 利用 。 

简单 地 说 ， 无 线 局 域 网 与 一 般 传统 的 以 太 网络 (Ethemet) 的 概念 并 没有 多 大 的 差异 ， 只 
是 无 线 局 域 网 将 用 户 端 接 取 网 络 的 线路 传输 部 分 转变 成 无 线 传输 的 形式 ， 之 所 以 称 其 是 局 
域 网 ， 是 因为 会 受到 桥接 器 与 电脑 之 间距 离 远 近 的 限制 而 影响 传输 范围 ， 所 以 ， 必 须 在 区 
域 范围 内 才 可 以 连 上 网 络 。 


16.1.1 无 线 局 域 网 的 发 展 历程 


1971 年 ， 夏 威 夷 大 学 开发 了 基于 封包 技术 的 Aloha Net。 
1979 年 ， 瑞 士 IBM 实验 室 的 Gfeller 首先 提出 了 无 线 局 域 网 的 概念 ， 采 用 红外 线 作 为 
传输 介质 ， 由 于 传输 速率 小 于 1Mb/s， 而 没有 投入 使 用 
1980 年 , 加利福尼亚 HP 实验 室 的 Ferrert 实现 了 直接 序列 扩 频 调频 ,速率 达到 100kb/s。 
因 未 能 从 FCC 获得 需要 的 频段 (900MHz) 而 最 终 流产 。 
此 后 几 年 ， 摩托 罗拉 等 公司 也 进行 了 WLAN 的 实验 ,也 都 因为 没有 获得 许可 频段 而 未 
能 如 愿 以 偿 。 
目前 ， 无 线 局 域 网 的 发 展 经 历 了 以 下 4 代 。 
e@ 第 一 代 无 线 局 域 网 : 1985 年 ，FCC 颁布 的 电波 法 规 为 无 线 局 域 网 的 发 展 扫 清 了 道 
路 ， 并 且 分 配 2 个 频段 ， 即 专用 频段 和 免 许可 证 的 频段 ISM)。 
e@ ”第 二 代 无 线 局 域 网 ， 基 于 IEEE802.11 标准 的 无 线 局 域 网 。 
第 三 、 四 代 无 线 局 域 网 ， 符 合 IEEE802.1lb 标准 的 归 为 第 三 代 无 线 局 域 网， 符合 
IEEE802.11a、HiperLAN2 和 IEEE802.11g 标准 的 ， 称 为 第 四 代 无 线 局 域 网 。 
16-1 展示 了 网 络 速 率 与 无 线 网 络 发 展 的 关系 。 


| EF | scokbps 1 或 2Mbps 11Mbps | 54Mbps | 108Mbps> 
[| 
轿 霹 幸 。 900MHz 2.4GHz 5GHz 
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1986 1988 1990 19921994 1998 000 200 008 


图 16-1 无 线 网 络 的 发 展 


16.1.2 无 线 局 域 网 的 优势 


无 线 局 域 网 的 优势 主要 有 以 下 几 个 方面 : 

@ 无 线 局 域 网 不 需要 受 限 于 网 络 可 连 线 端点 数 的 多 赛 ， 就 可 轻松 地 在 无 线 局 域 网 中 
增加 新 的 使 用 者 数目 。 

@ 使 用 无 线 局 域 网 时 ， 不 必 受 限于 网 络 线 的 长 短 和 播 槽 ， 节 省 有 线 网 络 布线 的 人 力 
与 物力 成 本 ， 从 此 摆脱 被 网 络 线 纠缠 的 梦 厦 。 

e@ ” 相 较 于 时 下 流行 的 GPRS 手机 和 CDMA 手机 , 无 线 局 域 网 具有 高 速 宽频 上 网 的 特 
性 ， 它 可 提供 11Mbps， 约 200 倍 于 一 般 调制 解 调 器 (Modem 56kbps) 的 传输 速度 
可 满足 使 用 者 对 大 量 图 像 、 影 音 传 输 的 需求 。 

@ ”对 于 上 班 族 和 经 常 需要 离开 办 公 座 位 开会 的 主管 人 员 来 说 ， 使 用 无 线 局 域 网 ， 就 
可 不 用 再 担心 找 不 到 上 网 的 插座 。 此 外 ， 通 过 无 线 局 域 网 ， 使 用 者 可 以 在 信号 履 
盖 的 范围 内 自由 地 移动 笔记 本 电脑 等 设备 ， 而 能 随时 随地 与 网 络 保持 连接 。 

@ 除了“ 无线 ”原因 ， 可 以 免 去 实体 网 络 线 布线 的 困扰 外 ， 在 网 络 发 生 错误 的 时 候 ， 
也 不 用 慢 慢 寻找 出 损坏 的 线路 ， 只 要 检查 信号 发 送 与 接收 端的 信号 是 否 正常 即 可 。 


16.1.3 无 线 网 络 应 用 的 现状 以 及 对 未 来 的 展望 


无 线 局 域 网 可 以 应 用 于 区 域 覆 盖 和 点 对 点 传输 ， 其 中 ,又 以 区 域 履 盖 应 用 占 绝 大 多 数 。 
我 们 国内 的 无 线 局 域 网 现状 ， 按 照应 用 规模 ， 大 致 可 以 分 为 以 下 4 种 类 型 。 

(1) 个 人 及 家 庭 用 户 。 拥 有 多 台 计 算 机 的 家 庭 越 来 越 普遍 ， 此 类 用 户 一 般 会 使 用 集成 
无 线 功能 的 宽带 路 由 器 。 

(2) 企业 用 户 。 这 类 用 户 的 无 线 网 络 大 部 分 由 自己 或 系统 集成 商 搭建 ， 网 络 规模 差异 
很 大 ， 网 络 的 设计 水 平和 安全 状况 也 参差 不 齐 。 

(3) 热点 应 用 。 近 年 来 ， 在 咖啡 厅 、 酒 店 、 医 院 、 商 场 、 车 站 等 场所 ， 纷 纷 兴起 了 提 
供 无 线 上 网 的 服务 , 这 些 网 络 仍 然 是 由 用 户 自己 或 系统 集成 商 搭建 的 , 网 络 利 用 率 并 不 高 。 

(4) 大 面积 覆盖 。 为 提升 城市 形象 或 出 于 ISP 之 间 竞 争 等 目的 ， 目 前 涌现 了 大 批 的 机 
场 覆 盖 、 无 线 社区 、 无 线 高 校 ， 甚 至 无 线 城市 ， 这 类 大 型 网 络 一 般 是 由 各 大 运营 商 进 行 部 
署 ， 从 设计 到 实施 都 比较 系统 。 

上 面 这 些 不 同 规模 的 网 络 ， 各 自 具 有 不 同 的 特点 ， 但 它们 的 共同 点 ， 就 是 能 够 极 大 地 
方便 我 们 的 生活 。 现 在 ， 只 要 给 你 的 笔记 本 电脑 装 上 一 张 网 卡 ， 不 管 是 在 酒店 咖啡 馆 的 走 
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廊 里 ， 还 是 你 出 差 在 外 地 的 机 场 等 候 飞 机 ， 都 可 以 摆脱 线 缆 ， 实 现 无 线 宽 频 上 网 ， 甚 至 可 
以 在 遥远 的 外 地 进入 自己 公司 的 内 部 局 域 网 进行 办 公 , 处 理 或 者 给 你 的 下 属 发 出 电子 指令 。 
这 种 看 似 遥 不 可 及 的 梦想 ， 其 实 已 悄悄 地 走 进 大 众 的 生活 。 

“无 线 互 联 ” 注 定 要 在 近年 成 为 焦点 。 各 运营 商 已 纷纷 介入 无 线 局 域 网 市 场 ， 这 是 因 
为 , 信息 产业 部 最 近 发 出 通知 , 放 开 5.8GHz 频段 作为 无 线 上 网 频段 , 无 线 局 域 网 在 5.8GHz 
和 2.4GHz 两 个 频段 都 可 以 用 作 无 线 局 域 上 网 频段 ， 从 政策 上 为 无 线 上 网 应 用 扫 清 了 “最 后 
一 公里 ”的 障碍 。 一 时 间 ， 中 国电 信 推 出 了 “天 辟 通 ”; 网 通联 合 联想 及 英特尔 力 推 无 线 
局 域 网 应 用 网 络 环境 ， 而 移动 运营 商 也 看 中 了 WLAN 的 发 展 ， 中 国 移动 即将 推出 GPRS+ 
WLAN 捆绑 方案 ， 中 国联 通 已 经 推出 CDMA 1X + WLAN 的 方式 为 内 置 WLAN 无 线 模块 
的 终端 (如 PC、 笔 记 本 、PDA、 手 机 等 ) 用 户 提 供 无 线 接 入 互联 网 服务 。 

不 管 未 来 会 采用 何 种 无 线 技术 标准 ， 可 以 肯定 的 一 点 是 ， 未 来 无 线 网 络 的 传输 速率 及 
稳定 性 将 会 不 断 提 高 ， 甚 至 会 超越 传统 的 有 线 网 络 ， 同 时 ， 硬 件 设 备 的 成 本 将 呈 下 降 趋 势 ， 
结合 无 线 网 络 移动 性 强 、 易 扩展 、 易 部 署 等 传统 优势 ， 未 来 无 线 网 络 在 各 个 层次 、 各 种 规 
模 的 消费 群体 里 面 都 将 具有 极 大 的 发 展 空间 。 


16.2 无 线 局 域 网 的 规格 标准 


无 线 接 入 技术 区 别 于 有 线 接 入 的 特点 之 一 , 是 标准 不 统一 , 不 同 的 标准 有 不 同 的 应 用 。 
正 因为 如 此 ， 使 得 无 线 接 入 技术 出 现 了 百家争鸣 的 局 面 。 在 众多 的 无 线 接 入 标准 中 ， 无 线 
局 域 网 标准 更 成 为 人 们 关注 的 焦点 。 


16.2.1 IEEE802.11x 系列 


802.11 是 1997 年 IEEE 最 初 制定 的 一 个 WLAN 标准 。 主 要 用 于 解决 办 公 室 无 线 局 域 
网 和 校园 网 中 用 户 与 用 户 终端 的 无 线 接 入 ， 其 业务 范畴 主要 限于 数据 存 取 ， 速 率 最 高 只 能 
达 2Mbps。 由 于 它 在 速率 、 传 输 距 离 、 安 全 性 、 电 磁 兼 容 能 力 及 服务 质量 方面 均 不 尽 如 人 
意 ， 从 而 产生 了 其 系列 标准 。 

802.11b， 将 速率 扩充 至 11Mbps， 并 可 在 5.5Mbps、2Mbps 及 1Mbps 之 间 进 行 自 动 速 
率 调整 ， 亦 提供 了 MAC 层 的 访问 控制 和 加 密 机 制 ， 以 提供 与 有 线 网 络 相 同 级 别 的 安全 保 
护 ， 还 提供 了 可 选择 的 40 位 及 128 位 的 共享 密 钥 算 法 ， 从 而 成 为 目前 802.11 系列 的 主流 
产品 。 而 802.11b+ 还 可 将 速率 增强 至 22Mbps。 

802.11a， 工 作 于 5GHz 频段 ， 借 助 OFDM 技术 ， 使 最 高 速率 提升 至 54Mbps。 

802.11g， 依 然 工作 于 2.4GHz 频段 ， 与 802.11b 兼容 ， 最 高 速率 亦 提升 至 54Mbps， 其 
系列 化 为 1、2、5、6、9、11、12、18、24、36、54Mbps。 

802.11c 为 MAC/LLC 性 能 增强 ; 801.11d 对 应 802.11b 版 本 , 解决 那些 不 能 使 用 2.4GHz 
频段 国家 的 使 用 问题 。 

802.11e 则 是 一 个 瞄准 扩展 服务 质量 的 标准 , 其 分 布 式 控制 模式 可 提供 稳定 合理 的 服务 
质量 ， 而 集中 控制 模式 可 灵活 支持 多 种 服务 质量 策略 。 

802.11f 用 于 改善 802.11 协议 的 切换 机 制 , 使 用 户 能 在 不 同 无 线 信道 或 接 入 设备 点 间 可 
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802.11h 可 用 于 实现 比 802.11a 更 好 地 控制 发 信 功 率 和 选择 无 线 信道 , 与 802.11e 一 道 ， 
可 适应 欧洲 的 更 严格 的 标准 。 

802.11i 及 802.1x 主要 着 重 于 安全 性 ，802.11i 能 支持 鉴 权 和 加 密 算 法 的 多 种 框架 协议 ， 
支持 企业 、 公 众 及 家 庭 应 用 ，802.1x 的 核心 为 具有 可 扩展 认证 协议 EAP， 可 对 以 太 网 端口 
鉴 权 ， 扩 展 至 无 线 应 用 。 

802.11j 的 作用 是 解决 802.11a 与 欧洲 HiperLAN/2 网 络 的 互 连 互通 。 

802.11/WNG 解决 IEEE802.11 与 欧洲 ETSI BRAN-HiperLAN 及 日 本 ARAB-HiSWAN 
统一 建成 全 球 一 致 的 WLAN 公共 接口 。 

802.1ln 已 将 速率 增强 至 108/320Mbps， 并 已 进一步 改进 其 管理 开销 及 效率 ， 支 持 
802.11/RRM 与 无 线 电 资 源 管理 有 关 的 标准 ， 以 增强 802.11 的 性 能 。 

802.11/HT 进一步 增强 了 802.11 的 传输 能 力 ， 取 得 更 高 的 吞吐 量 。 

802.11Plus， 拟 制订 802.11WLAN 与 GPRS/UMTS 之 类 多 频 、 多 模 运行 标准 ， 可 有 松 
耦合 及 紧 耦 合 两 种 类 型 。 松 耦合 时 ， 两 种 网 络 分 别 部 署 ，WLAN 仅 利用 GPRS 之 类 网 络 的 
用 户 数据 库 ， 可 通过 Mobile IP(MIP) 提 供 两 网 络 间 的 移动 性 ， 通 过 远程 接 入 拨号 用 户 业 务 
(Remote Access Dail-In User Service，RADUIS) 实 现 鉴 权 、 授 权 和 计 账 (Authentication 
Authorization Accounting，AAA)， 由 于 MIP 可 能 导致 高 传输 时 延 ， 从 而 不 容易 实现 无 颖 
隙 会 话 切 换 ， 而 紧 耦 合 时 ，WLAN 直接 连 至 业务 支持 节点 SGSN 或 标准 化 接口 Gb、lu 等 ， 
WLAN 数据 需 经 LTGPRS 之 类 核心 网 转发 ， 完 全 按 GPRS 方式 进行 AAA， 此 时 ， 能 在 两 
网 络 间 提供 很 强 的 移动 性 。 为 与 蓝牙 在 2.4GHz 频段 较 好 共存 ， 亦 采用 Ad hoc 网 络 拓扑 结 
构 及 自 适应 跳 频 信道 分 配 技 术 。 
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16.2.2 ”HiperLAN/x 系列 


HiperLAN 是 由 ETSI 的 RESIO 工作 组 提出 的 欧洲 WLAN 标准 .工作 频段 为 5.12~5.30GHz 
及 17.1~17.3GHz。 早 期 的 HiperLAN/1 采用 GMSK 调制 ， 最 高 传输 速率 为 23.5Mbps， 与 当时 
技术 上 较 成 熟 的 下 EE802.11b 相 比 ， 无 明显 优势 。 

HiperLAN/2 采用 OFDM 作为 物理 层 手 段 ， 可 将 速率 提高 至 54Mbps， 并 能 有 效 对 抗 多 
径 干扰 ， 以 及 与 IEEE802.11a 共享 一 些 相同 部 件 ， 在 较 大 范围 内 取得 较 好 的 性 价 比 。 其 信 
道 带宽 为 22MHz, 调制 方式 亦 为 OFDM-BPSK/QPSK/16/64QAM,， 系列 化 传输 速率 为 6、9、 
12、18、27、36、54Mbps。 

HiperLAN/2 具备 另 一 些 长 处 ， 例 如， 其 接 入 点 可 监视 相应 的 无 线 信道 并 自动 选择 空闲 
信道 ， 从 而 进行 自动 频率 分 配 ， 使 系统 部 署 简单 有 效 ;， 数据 通过 移动 终端 与 接 入 点 间 建 立 
的 信 令 链接 进行 传输 ， 此 面向 链接 的 特征 可 容易 实现 QoS 支持 ; 与 802.11 协议 只 能 由 以 太 
网 作为 支撑 的 情况 不 同 ， 其 协议 栈 具 有 很 大 的 灵活 性 ， 它 既 可 作为 交换 式 以 太 网 的 无 线 接 
入 子 网 ， 也 可 作为 3G 蜂窝 移动 网 络 的 接 入 网 ， 而 且 ， 这 种 接 入 对 网 络 层 以 上 用 户 部 分 来 
说 ， 完 全 透明 ， 从 而 目前 在 固定 网 络 上 的 任何 应 用 均 可 在 HiperLAN/2 上 运行 。 


16.2.3 ”蓝牙 技术 
蓝牙 ， 是 一 种 支持 设备 短 距离 通信 (一 般 10m 内 ) 的 无 线 电 技术 。 能 在 包括 移动 电话 、 
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PDA、 无 线 耳 机 、 笔 记 本 电脑 、 相 关外 设 等 众多 设备 之 间 进 行 无 线 信息 交换 。 利 用 蓝牙 技 
术 ， 能 够 有 效 地 简化 移动 通信 终端 设备 之 间 的 通信 ， 也 能 够 成 功 地 简化 设备 与 因特网 之 间 
的 通信 ， 使 数据 传输 变 得 更 加 迅速 高 效 ， 为 无 线 通信 拓宽 道路 。 

蓝牙 采用 分 散 式 网 络 结构 以 及 快 跳 频 和 短 包 技术 ， 支 持 点 对 点 及 点 对 多 点 通信 ， 工 作 
在 全 球 通用 的 2.4GHz ISM( 即 工业 、 科 学 、 医 学 ) 频 段 。 其 数据 速率 为 1Mbps。 采 用 时 分 双 
工 传输 方案 ， 实 现 全 双 工 传输 。 


16.3 无线 网 络 的 安全 


16.3.1 无 线 网 络 安全 性 的 影响 因素 


无 线 网 络 安全 性 的 影响 因素 主要 有 以 下 几 个 方面 : 
@ ”硬件 设备 。 

e ”虚假 接 入 点 。 

@ ”其 他 安全 问题 。 


16.3.2 无 线 网 络 标准 的 安全 性 


IEEE802.11b 标准 定义 了 两 种 方法 实现 无 线 局 域 网 的 接 入 控制 和 加 密 : 系统 ID(SSID) 
和 有 线 对 等 加 密 (WEP)。 

(1) 认证 

如 图 16-2 所 示 为 无 线 认 证 的 过 程 。 


16-2 ”无线 认证 的 过 程 


(2) WEP(Wired Equivalent Privacy) 
有 线 等 效 保密 (WEP) 协 议 是 对 两 台 设备 间 无 线 传输 的 数据 进行 加 密 的 方式 ， 用 以 防止 
非法 用 户 窃听 或 侵入 无 线 网 络 。WEP 安全 技术 源 自 于 名 为 RC4 的 RSA 数 据 加 密 技 术 ， 以 
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算 | 满足 用 户 更 高 层次 的 网 络 安全 需求 。WEP 的 目标 主要 有 : 
机 e@ 接 入 控制 。 防 止 未 授权 用 户 接 入 网 络 ， 他 们 没有 正确 的 WEP 密 钥 。 
天 | 。 加 密 。 通 过 加 密 和 只 允许 有 正确 WEP 密 钥 的 用 户 解密 ， 来 保护 数据 流 。 
安 IEEE802.11b 标准 提供 了 两 种 用 于 无 线 局 域 网 的 WEP 加 密 方案 。 
加 第 一 种 方案 可 提供 4 个 默认 密 钥 ， 以 供 所 有 的 终端 共享 一 一 包括 一 个 子 系统 内 的 所 有 
础 | 接 入 点 和 客户 适配器 。 当 用 户 得 到 默认 密 钥 后 ， 就 可 以 与 子 系统 内 的 所 有 用 户 安全 地 通信 
了 。 默 认 密 钥 存在 的 问题 ， 是 当 它 被 广泛 分 配 时 ， 可 能 会 危及 安全 。 

第 二 种 方案 中 ， 是 在 每 一 个 客户 适配器 上 建立 一 个 与 其 他 用 户 联系 的 密 钥 表 。 该 方案 
比 第 一 种 方案 更 加 安全 ， 但 随 着 终端 数量 的 增加 ， 给 每 一 个 终端 分 配 密 钥 很 困难 。 

不 过 ， 密 码 分 析 学 家 已 经 找 出 WEP 好 几 个 弱点 ， 因 此 ， 在 2003 年 被 Wi-Fi Protected 
Access(WPA) 淘 汰 ， 又 在 2004 年 由 完整 的 IEEE802.11i 标 准 (又 称 为 WPA2) 所 取代 。WEP 
虽然 有 些 弱 点 ， 但 也 足以 吓 阻 非 专业 人 士 的 窥探 了 。 


16.3.3 ”无线 网 络 常见 的 攻击 


(1) WEP 中 存在 的 弱点 

整体 设计 : 在 无 线 环 境 中 , 不 使 用 保密 措施 是 具有 很 大 风险 的 ,但 WEP 协议 只 是 802.11 
设备 实现 的 一 个 可 选项 。 

加 密 算法 : WEP 中 的 初始 化 向 量 (Initialization Vector，IV) 由 于 位 数 太 短 和 初始 化 复位 
设计 ， 容 易 出 现 重 用 现象 ， 从 而 可 能 被 人 破解 密 钥 。 而 对 用 于 进行 流 加 密 的 RC4 算法 ， 在 
其 头 256 个 字 节 数 据 中 的 密 钥 存在 弱点 ， 目 前 还 没有 任何 一 种 实现 方案 修正 这 个 缺陷 。 此 
外 , 用 于 对 明文 进行 完整 性 校 验 的 CRC(Cyclic Redundancy Check, 循环 见 余 校 验 ) 只 能 确保 
数据 正确 传输 ， 并 不 能 保证 其 未 被 修改 ， 因 而 ， 并 不 是 安全 的 校 验 码 。 

密 钥 管 理 : 802.11 标准 指出 , WEP 使 用 的 密 钥 需要 接受 一 个 外 部 密 钥 管理 系统 的 控制 。 
通过 外 部 控制 ， 可 以 减少 IV 的 冲突 数量 ， 使 得 无 线 网 络 难以 攻破 。 但 问题 在 于 ， 这 个 过 程 
形式 非常 复杂 ， 并 且 需 要 手工 操作 ， 因 而 ， 很 多 网 络 的 部 署 者 更 倾向 于 使 用 默认 的 WEP 
密 钥 ， 这 使 黑客 为 破解 密 钥 所 做 的 工作 量 大 大 减少 了 。 

另 一 些 高 级 的 解决 方案 需要 使 用 额外 的 资源 ， 如 RADIUS 和 Cisco 的 LEAP， 其 花费 
是 很 昂贵 的 。 

用 户 行为 : 许多 用 户 都 不 会 改变 默认 的 配置 选项 ， 这 令 黑 客 很 容易 推断 出 或 猜 出 密 钥 。 

(2) 执行 搜索 

NetStumbler 是 第 一 个 被 广泛 用 来 发 现 无 线 网 络 的 软件 。 据 统计 ， 有 超过 50% 的 无 线 网 
络 是 不 使 用 加 密 功能 的 。 通 常 ， 即 使 加 密 功能 处 于 活动 状态 ， 无 线 基 站 (Wireless Access 
Point，WAP， 或 简写 为 AP) 广 播 信 息 中 仍然 包括 许多 可 以 用 来 推断 出 WEP 密 钥 的 明文 信 
息 ， 如 网 络 名 称 、 安 全 集 标 识 符 (Secure Set Identifier，SSID) 等 。 

(3) 人 窃听、 截取 和 监听 

窃听 是 指 偷 听 流 经 网 络 的 计算 机 通信 的 电子 形式 信息 ， 它 是 以 被 动 和 无 法 觉察 的 方式 
入 侵 检 测 设备 的 。 即 使 网 络 不 对 外 广播 网 络 信息 ， 只 要 能 够 发 现任 何 明文 信息 ， 攻 击 者 仍 
然 可 以 使 用 一 些 网 络 工具 ， 如 Ethereal 和 TCPDump 来 监听 和 分 析 通 信 量 ， 从 而 识别 出 可 
以 破坏 的 信息 。 
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使 用 虚拟 专用 网 、 安 全 套 接 字 层 (Secure Sockets Level，SSL) 和 SSH(Secure Shell))， 有 
助 于 防止 无 线 拦 截 。 

(4) 欺骗 和 非 授 权 访 问 

因为 TCP/IP 协议 的 设计 原因 ， 几 乎 无 法 防止 MAC/IP 地 址 欺骗 。 只 有 通过 静态 定义 
MAC 地 址 表 , 才能 防止 这 种 类 型 的 攻击 。 但是， 因为 巨大 的 管理 负担 ， 这 种 方案 很 少 被 采 
用 。 只 有 通过 智能 事件 记录 和 监控 日 志 ， 才 可 以 对 付 已 经 出 现 过 的 欺骗 。 当 试图 连接 到 网 
络 上 的 时 候 ， 简 单 地 通过 让 另外 一 个 节点 重新 向 AP 提交 身份 验证 请 求 ， 就 可 以 很 容易 地 
欺骗 无 线 网 身份 验证 。 许 多 无 线 设 备 提供 商 允 许 终端 用 户 通 过 使 用 设备 附带 的 配置 工具 ， 
重新 定义 网 卡 的 MAC 地 址 。 使 用 外 部 双 因 子 身份 验证 ， 如 RADIUS 或 SecurID， 可 以 防止 
非 授权 用 户 访问 无 线 网 及 其 连接 的 资源 ， 并 且 在 实现 的 时 候 ， 应 该 对 需要 经 过 强 验证 才能 
访问 资源 的 访问 进行 严格 的 限制 。 

(5) 网 络 接管 与 算 改 

同样 , 因为 TCP/IP 协议 设计 的 原因 , 某 些 技术 可 供 攻 击 者 接管 与 其 他 资源 建立 的 网 络 连接 。 
如 果 攻 击 者 接管 了 某 个 AP， 那么 , 所 有 来 自 无 线 网 的 通信 量 都 会 传 到 攻击 者 的 机 器 上 , 包括 其 
他 用 户 试图 访问 合法 网 络 主机 时 需要 使 用 的 密码 和 其 他 信息 。 欺 诈 AP 可 以 让 攻击 者 从 有 线 网 
或 无 线 网 进行 远程 访问 ， 而 且 这 种 攻击 通常 不 会 引起 用 户 的 重视 ， 用 户 通常 是 在 毫 无 防范 的 情 
况 下 输入 自己 的 身份 验证 信息 ， 甚 至 在 接 到 许多 SSL 错误 或 其 他 密 钥 错 误 的 通知 后 ， 仍 像 是 看 
待 自 己 机 器 上 的 错误 一 样 看 待 它们 ， 这 让 攻击 者 可 以 继续 接管 连接 而 不 必 担 心 被 别人 发 现 。 

(6) 拒绝 服务 攻击 

无 线 信 号 传输 的 特性 和 专门 使 用 的 扩 频 技术 ， 使 得 无 线 网 络 特别 容易 受到 DoS(Denial 
of Service， 拒 绝 服务 ) 攻 击 的 威胁 。 拒 绝 服务 是 指 攻击 者 恶意 占用 主机 或 网 络 几乎 所 有 的 资 
源 ， 使 得 合法 用 户 无 法 获得 这 些 资源 。 要 造成 这 类 的 攻击 ， 最 简单 的 办 法 ， 是 通过 让 不 同 
的 设备 使 用 相同 的 频率 ， 从 而 造成 无 线 频谱 内 出 现 冲突 。 另 一 个 可 能 的 攻击 手段 ， 是 发 送 
大 量 非法 (或 合法 ) 的 身份 验证 请 求 。 第 三 种 手段 ， 如 果 攻 击 者 接管 AP， 并 且 不 把 通信 量 传 
弟 到 恰当 的 目的 地 ， 那 么 ， 所 有 的 网 络 用 户 都 将 无 法 使 用 网 络 。 为 了 防止 Dos 攻击 ， 可 以 
做 的 事情 很 少 。 无 线 攻 击 者 可 以 利用 高 性 能 的 方向 性 天 线 ， 从 很 远 的 地 方 攻击 无 线 网 。 已 
经 获得 有 线 网 访问 权 的 攻击 者 ， 可 以 通过 发 送 多 达 无 线 AP 无 法 处 理 的 通信 量 来 攻击 它 。 
此 外 ， 为 了 获得 与 用 户 的 网 络 配 置 发 生 冲 突 的 网 络 ， 只 要 利用 NetStumbler 就 可 以 做 到 。 

(7) 恶意 软件 

凭借 技巧 定制 的 应 用 程序 ， 攻 击 者 可 以 直接 到 终端 用 户 上 查找 访问 信息 ， 例 如 ， 访 问 
用 户 系统 的 注册 表 或 其 他 存储 位 置 ， 以 便 获 取 WEP 密 钥 并 把 它 发 送 回 到 攻击 者 的 机 器 上 。 

应 注意 让 软件 保持 更 新 ， 并 且 遏 制 攻击 的 可 能 来 源 (Web 浏览 器 、 电 子 邮 件 、 运 行 不 当 
的 服务 器 服务 等 )， 这 是 唯一 可 以 获得 的 保护 措施 。 

(8) 偷窃 用 户 设备 

只 要 得 到 了 一 块 无 线 网 网 卡 ,攻击 者 就 可 以 拥有 一 个 无 线 网 使 用 的 合法 MAC 地 址 了 。 
也 就 是 说 ， 如 果 终 端 用 户 的 笔记 本 电脑 被 盗 ， 他 丢失 的 不 仅仅 是 电脑 本 身 ， 还 包括 设备 上 
的 身份 验证 信息 ， 如 网 络 的 SSID 及 密 钥 。 而 对 于 别有用心 的 攻击 者 而 言 ， 这 些 往 往 比 电 
脑 本 身 更 有 价值 。 
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机 16.4 无线 网 络 安全 解决 方案 

络 

安 针对 无 线 网 络 存在 的 安全 问题 及 攻击 工具 ， 以 下 提出 无 线 网 络 安全 的 解决 方案 。 
C 

而 16.4.1 修改 默认 设置 


多 数 无 线 网 络 的 默认 设置 并 未 发 挥 出 最 大 的 性 能 潜力 ， 也 没有 提供 最 大 的 安全 保证 ， 
因此 ， 用 户 在 使 用 无 线 网 络 时 ， 应 该 修改 其 默认 设置 ， 达 到 安全 目的 。 

(1) 设置 AP 

许多 AP 在 出 厂 时 ， 数 据 传输 加 密 功 能 是 关闭 的 ， 用 户 在 使 用 时 ， 应 开启 数据 传输 加 
密 功能 。 

(2) 设置 安全 口令 

修改 无 线路 由 器 的 默认 安全 口令 ， 不 要 设置 过 于 简单 或 常见 的 口令 。 

(3) 禁用 或 修改 SNMP 设置 

如 果 用 户 的 无 线 接 入 点 支持 SNMP, 那么 ， 需 要 禁用 它 ， 或 者 修改 默认 的 公共 和 私有 
的 标识 符 。 避 免 黑 客 利用 SNMP 获取 关于 用 户 网 络 的 重要 信息 。 

(4) 禁用 DHCP 

DHCP 功能 可 在 无 线 局 域 网 内 ， 自 动 为 每 台电 脑 分 配 IP 地 址 ， 不 需要 用 户 设置 卫 地 
址 、 子 网 掩 码 以 及 其 他 所 需 的 TCP/IP 参数 。 如 果 启 用 了 DHCP 功能 ， 那 么 ， 别 人 就 能 很 
容易 地 使 用 你 的 网 络 ， 因 此 ， 禁 用 DHCP 功能 很 有 必要 。 

(5) 隐藏 SSID 

在 无 线路 由 器 的 设置 中 ， 选 择 “ 隐 藏 SSID” 或 “禁止 SSID 广播 ”， 这 样 ， 就 不 容易 
被 “ 蹦 网 ”者 搜 到 了 。 

(6) MAC 地 址 过 滤 

启用 MAC 地 址 过 滤 , 可 以 阻止 未 经 授权 的 无 线 客户 端 访问 AP 及 进入 内 网 。 路 由 器 出 
厂 时 ， 这 种 特性 通常 是 关闭 的 ， 因 此 ， 需 要 用 户 开启 该 功能 。 通 过 启用 这 种 特性 ， 并 且 只 
告诉 路 由 器 所 允许 的 无 线 设备 的 MAC 地 址 ， 用 户 可 以 防止 他 人 盗用 自己 的 互联 网 连接 ， 
从 而 提升 安全 性 。 


16.4.2 合理 使 用 


合理 使 用 包括 以 下 方面 。 

(1) 在 不 使 用 网 络 时 ， 将 其 关闭 。 

如 果 用 户 的 网 络 并 不 需要 每 天 24 小 时 都 提供 服务 ， 那么 ， 在 不 使 用 网 络 时 ， 可 以 关闭 
它 ， 从 而 减少 被 黑客 们 利用 的 机 会 。 

(2) 调整 路 由 器 或 AP 设备 的 放置 位 置 。 

尽量 把 设备 放置 在 房屋 的 中 间 ， 而 不 是 靠近 窗户 的 位 置 ， 减 少 信 号 覆盖 范围 。 

(3) 定期 进行 接 入 点 检查 。 

对 于 使 用 无 线 网 络 的 企业 ， 应 使 用 相应 的 工具 ， 定 期 进行 接 入 点 检查 ， 检 查 时 ， 可 以 
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在 一 座 小 楼 内 使 用 无 线 笔记 本 和 软件 检查 ， 也 可 以 使 用 管理 应 用 收集 接 入 点 的 数据 。 通 过 
定期 检查 ， 及 时 发 现 非法 接 入 点 ， 去 除 恶意 设备 ， 消 除 无 线 威胁 。 


16.4.3 ”建立 无 线 虚拟 专用 网 


VPN 即 虚拟 专用 网 ， 是 通过 一 个 公用 网 络 (通常 是 因特网 ) 建 立 一 个 临时 的 、 安 全 的 连 
接 ， 是 一 条 穿 过 混乱 的 公用 网 络 的 安全 、 稳 定 的 隧道 。 

通常 ，VPN 是 对 企业 内 部 网 的 扩展 ， 通 过 它 ， 可 以 帮助 远程 用 户 、 公 司 分 支 机 构 、 商 
业 伙 伴 及 供应 商 同 公司 的 内 部 网 建立 可 信 的 安全 连接 ， 并 保证 数据 的 安全 传输 。 

VPN 可 用 于 不 断 增长 的 移动 用 户 的 全 球 因 特 网 接 入 ， 以 实现 安全 连接 ; 可 用 于 实现 企 
业 网 站 之 间 安 全 通信 的 虚拟 专用 线路 ， 用 于 经 济 有 效 地 连接 到 商业 伙伴 和 用 户 的 安全 外 联 
网 虚拟 专用 网 。 

VPN 功能 虽然 不 属于 802.11 标准 定义 下 的 技术 , 但 它 作为 目前 最 常见 的 连接 中 、 大 型 
企业 或 团体 与 团体 间 的 私人 网 络 的 通信 技术 ， 已 经 成 为 无 线路 由 器 的 一 项 基本 功能 。 

如 果 客 户 端 因为 过 于 陈旧 ， 或 者 驱动 程序 不 兼容 ， 而 无 法 支持 802.11i、WPA2 或 者 
WAPI， 在 这 种 情况 下 ，VPN 可 以 作为 保护 无 线 客户 端 连 接 的 备用 解决 方案 ， 利 用 VPN 并 
使 用 定期 密 钥 轮 换 和 额外 的 MAC 地 址 控制 加 强 安全 管理 ， 达 到 安全 目的 。 


16.4.4 ”使 用 入 侵 检测 系统 


入 侵 检测 系统 GDS) 通 过 分 析 网 络 中 的 传输 数据 ， 来 判断 破坏 系统 的 入 侵 事件 。 无 线 入 
侵 检 测 系统 与 传统 的 入 侵 检 测 系统 类 似 ， 但 无 线 入 侵 检测 加 入 了 一 些 无 线 局 域 网 的 检查 和 
对 破坏 系统 做 出 反应 的 特性 ， 可 以 监视 和 分 析 用 户 的 活动 ， 判 断 入侵 事 件 的 类 型 ， 检 测 非 
法 的 网 络 行为 ， 对 异常 的 网 络 流量 进行 报警 等 。 

目前 ， 市 场 上 常见 的 无 线 入 侵 检测 系统 是 AirdefenseRogueWatch 和 AirdefenseGuard。 
而 一 些 无 线 入 侵 检 测 系统 也 得 到 了 Linux 系统 的 支持 。 例 如 : 自由 软件 开放 源 代码 组 织 的 
Snort-Wireless 和 WIDZ。 


16.4.5 总 结 


无 线 网 络 发 展 中 ， 一 个 大 的 障碍 是 无 线 网 络 的 安全 问题 ， 本 章 对 无 线 网 络 的 安全 解决 
方案 进行 了 全 面 介绍 : 对 于 一 般 用 户 ， 只 需 采 用 修改 默认 设置 及 合理 使 用 ， 基 本 上 就 能 
满足 安全 要 求 ， 对 于 企业 及 政府 ， 应 根据 安全 等 级 要 求 ， 来 决定 采用 何 种 安全 手段 ， 如 果 
无 线 网 络 设备 只 支持 WEP 加 密 方 式 ， 则 利用 VPN 并 使 用 定期 密 钥 轮 换 和 额外 的 MAC 地 
址 控制 ， 加 强 安全 管理 ， 否 则 采用 WPA2、WAPI 等 更 加 高 级 的 加 密 方式 。 如 果 要 求 安全 
等 级 更 高 ， 则 还 需 配 置 专业 系统 ， 来 实现 自动 检测 及 自动 防御 。 

随 着 用 户 对 安全 知识 的 逐渐 了 解 ， 及 技术 厂商 对 解决 方案 的 不 断 探索 ， 无 线 网 络 基本 
上 可 以 具有 全 面 的 安全 功能 ， 如 果 得 到 正确 的 使 用 和 妥善 的 保护 ， 无 论 是 普通 用 户 、 企 业 
还 是 政府 ， 都 能 够 放心 地 享受 无 线 网 络 带 来 的 便利 ， 在 无 线 网 络 上 安全 地 畅游 。 


练习 。 思 考题 


. 简 述 无 线 网 络 的 发 展 历程 。 

. 详细 说 明 无 线 网 络 相对 于 有 线 网 络 的 优势 和 劣势 。 

. 简要 说 明 常见 的 对 于 无 线 网 络 的 攻击 方式 。 

. 简 述 如 何 防 止 无 线 网络 攻 击 。 

. 详细 说 明 WEP 存在 的 弱点 ， 及 攻击 方式 ， 能 否 模 拟 这 一 攻击 过 程 。 
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